Bagle par exploit sur site WEB

Bagle est un vers qui se propageaint par P2P qui a fait fureur entre 2007 et 2008 (voir sa fiche sur le forum http://forum.malekal.com/bagle-beagle-trojan-tooso-t4442.html?hilit=bagle#p29938 ).
Ce dernier créés des droppers zippés avec des noms de cracks et les plaçait dans le dossier de partages du client P2P.
L’internaute qui téléchargeait des cracks sur P2P, executé le dropper du malware qui s’installait sur sa machine et se propageait à nouveau via son client P2P.

Ce malware avait des fonctions de KillAV (mais il bloquait aussi certains fix comme Combofix ou GMER).
En général, il endommageait le fichier executable pour le corrompre, à l’execution, on obtenait le message : « nomdufichierdelantivirus.exe n’est pas une application win32 valide »

Ce dernier est devenu discret à partir de 2009 pour le voir plus que rarement sur les forums.

Depuis quelques jours, Bagle est réapparu mais par exploit sur site WEB.

Exemple : http://www3.malekal.com/malwares/index.php?malware=bagle

Ci-dessous une capture où on voit Bagle (.exe avec la clef jaune).

Le fonctionnement n’a pas trop changé depuis les dernières variantes actives.

 

Le malware créé les fichiers suivants :
c:\documents and settings\Mak\Application Data\drivers\downld\693859.exe
c:\documents and settings\Mak\Application Data\drivers\downld\693890.exe
c:\documents and settings\Mak\Application Data\drivers\winupgro.exe
et le driver c:\windows\system32\srosa2.sys qui est chargé par le service srosa

Bagle remplace ensuite un fichier qui se lance au démarrage par une clef Run au hasard.
Dans mon cas c’est le fichier msmsgs.exe

On le reconnait par l’icone utilisé par Bagle ici une clef jaune.

La détection : http://www.virustotal.com/file-scan/report.html?id=96eb85bfc5ba91a3fe8492bc98ddbbf84159ce62a79697f6e2216f3433db289c-1317893433

File name: file.jpg
Submission date: 2011-10-06 09:30:33 (UTC)
Current status: finished
Result: 9 /43 (20.9%) VT Community

Print results Antivirus Version Last Update Result
AhnLab-V3 2011.10.05.00 2011.10.05 –
AntiVir 7.11.15.135 2011.10.05 –
Antiy-AVL 2.0.3.7 2011.10.06 –
Avast 6.0.1289.0 2011.10.06 –
AVG 10.0.0.1190 2011.10.05 Win32/Heur
BitDefender 7.2 2011.10.06 –
ByteHero 1.0.0.1 2011.09.23 Trojan.Win32.Heur.Gen
CAT-QuickHeal 11.00 2011.10.05 –
ClamAV 0.97.0.0 2011.10.06 –
Commtouch 5.3.2.6 2011.10.06 –
Comodo 10360 2011.10.06 MalCrypt.Indus!
DrWeb 5.0.2.03300 2011.10.06 –
Emsisoft 5.1.0.11 2011.10.06 Trojan-Downloader.Win32.Bagle!IK
eSafe 7.0.17.0 2011.10.05 –
eTrust-Vet 36.1.8602 2011.10.06 –
F-Prot 4.6.2.117 2011.10.05 –
F-Secure 9.0.16440.0 2011.10.06 –
Fortinet 4.3.370.0 2011.10.06 W32/A.PFL!tr.pws
GData 22 2011.10.06 –
Ikarus T3.1.1.107.0 2011.10.06 Trojan-Downloader.Win32.Bagle
Jiangmin 13.0.900 2011.10.05 –
K7AntiVirus 9.114.5245 2011.10.05 –
Kaspersky 9.0.0.837 2011.10.06 –
McAfee 5.400.0.1158 2011.10.06 –
McAfee-GW-Edition 2010.1D 2011.10.05 –
Microsoft 1.7702 2011.10.06 –
NOD32 6520 2011.10.06 –
Norman 6.07.11 2011.10.05 –
nProtect 2011-10-06.01 2011.10.06 –
Panda 10.0.3.5 2011.10.05 Trj/Thed.A
PCTools 8.0.0.5 2011.10.06 –
Prevx 3.0 2011.10.06 –
Rising 23.77.04.01 2011.09.30 Suspicious
Sophos 4.69.0 2011.10.06 Mal/Behav-374
SUPERAntiSpyware 4.40.0.1006 2011.10.06 –
Symantec 20111.2.0.82 2011.10.06 –
TheHacker 6.7.0.1.317 2011.10.05 –
TrendMicro 9.500.0.1008 2011.10.06 –
TrendMicro-HouseCall 9.500.0.1008 2011.10.06 –
VBA32 3.12.16.4 2011.10.06 –
VIPRE 10676 2011.10.06 –
ViRobot 2011.10.6.4705 2011.10.06 –
VirusBuster 14.0.250.0 2011.10.05 –
Additional information

MD5 : 6a1365083f768e50d134218890d5d6c4
SHA1 : 378a71e4c286687b2bdf055a59a8fc660247a21b
SHA256: 96eb85bfc5ba91a3fe8492bc98ddbbf84159ce62a79697f6e2216f3433db289c

 

Les connexions établies dans mon cas :

1317988691.881 79 192.168.1.19 TCP_MISS/404 547 GET http://rambostielzchen.com/images/ex32.php?crc=558161692 – DIRECT/81.169.145.67 text/html
1317988691.902 0 192.168.1.19 TCP_NEGATIVE_HIT/404 555 GET http://rambostielzchen.com/images/ex32.php?crc=558161692 – NONE/- text/html
1317988692.717 774 192.168.1.19 TCP_MISS/404 5581 GET http://activaya.com.ar/images/ex32.php?crc=558161692 – DIRECT/200.58.120.18 text/html
1317988692.985 262 192.168.1.19 TCP_MISS/404 5581 GET http://activaya.com.ar/images/ex32.php?crc=558161692 – DIRECT/200.58.120.18 text/html
 

La liste des pages WEB vers lesquelles le Bagle peut se connecter : Bagle_web

 

Bagle est capable de fermer un navigateur WEB dans le cas où vous tapez des mots clefs en général en rapport avec des fix ou antivirus.
Il est aussi capable de tuer le processus d’un antivirus ou fix (liste plus bas) et de corrompre l’executable.

En vidéo, ça donne :

Les mots contenues dans une page WEB qui vont faire fermer le navigateur WEB :

AVZ
hijackthis
MalwareBytes
Avast!
Antirootkit
GMER
FindyKill
Avast!
ALWIL
Antirootkit
Avast
AVZ
Rootkit
 

Les processus et nom contenu dans les fenêtres visées : Bagle_processus_killed

  • Combofix en action contre Bagle.
  • Sauvegardez vos données avant d’utiliser Combofix.
  • Télécharger Combofix et renommer le fichier en ce que vous le lancez.
  • Lancez-le, Bagle ne devrait pas le bloquer.
  • Laissez-vous guider ensuite.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 29 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *