W32/Bagle-AF

Veuillez suivre les instructions de suppression des vers.

W32/Bagle-AF est un membre de la famille de vers de messagerie électronique W32/Bagle.

W32/Bagle-AF se propage par courriel. Les adresses électroniques sont recueillies depuis des fichiers de l’ordinateur portant les extensions suivantes :

WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP.

W32/Bagle-AF utilise son propre moteur SMTP pour se propager.

Le ver envoie un courriel de type HTML avec les caractéristiques suivantes :

Expéditeur :

L’adresse de l’expéditeur est toujours usurpée.

Nom de la pièce jointe :

Le nom de la pièce jointe est choisi parmi ceux de la liste suivante :

Information Details text_document Updates Readme Document Info Details Message

W32/Bagle-AF est capable de s’envoyer sous la forme d’un fichier ZIP crypté, d’un fichier CPL ou sous la forme d’un fichier exécutable normal avec une extension EXE, COM ou SCR.

Objet :

Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :) RE: Text message Re: Document Incoming message Re: Incoming Message RE: Incoming Msg RE: Message Notify Notification Changes.. Update Fax Message Protected message RE: Protected message Forum notify Site changes Re: Hi Encrypted document

Corps du message :

Lorsque le fichier arrive dans un fichier non crypté (directement exécutable) alors le corps du message est le suivant :

Read the attach. Your file is attached. More info is in attach. See attach. Please, have a look at the attached file. Your document is attached. Please, read the document. Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Pay attention at the attach. See the attached file for details. Message is in attach Here is the file.

Lorsque le ver s’attache en tant que fichier crypté, le mot de passe est inclus dans le courriel en tant qu’image bitmap et le corps du message est l’un des suivants :

For security reasons attached file is password protected. The password is <fichier bitmap>

For security purposes the attached file is password protected. Password -- <fichier bitmap>

Attached file is protected with the password for security reasons. Password is <fichier bitmap>

In order to read the attach you have to use the following password: <fichier bitmap>

Note: Use password <fichier bitmap> to open archive

Archive password: <fichier bitmap>

Password - <fichier bitmap>

Password: <fichier bitmap>

Le fichier ZIP contient un exécutable portant les extensions EXE, COM ou SCR et un fichier texte inoffensif portant l’une des extensions suivantes : INI, CFG, TXT, VXD, DEF ou DLL.

Le ver tente ensuite de supprimer les entrées de registre de plusieurs processus associés à des logiciels antivirus et de sécurité. Si elles existent, les entrées de registre suivantes sont supprimées de HKLM\Software\Microsoft\Windows\CurrentVersion\Run :

My AV Zone Labs Client Ex 9XHtProtect Antivirus Special Firewall Service service Tiny AV ICQNet HtProtect NetDy Jammer2nd FirewallSvr MsInfo SysMonXP EasyAV PandaAVEngine Norton Antivirus AV KasperskyAVEng SkynetsRevenge ICQ Net

W32/Bagle-AF se copie dans le dossier système Windows et, pour s’exécuter au démarrage, crée une entrée de registre sous :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

W32/Bagle-AF crée ensuite des copies de lui-même dans tous les dossiers contenant la sous-chaîne SHAR sur tous les lecteurs. Le ver utilise les noms de fichiers suivants :

Microsoft Office 2003 Crack, Working!.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Microsoft Office XP working Crack, Keygen.exe Porno, sex, oral, anal cool, awesome!!.exe Porno Screensaver.scr Serials.txt.exe KAV 5.0 Kaspersky Antivirus 5.0 Porno pics arhive, xxx.exe Windows Sourcecode update.doc.exe Ahead Nero 7.exe Windown Longhorn Beta Leak.exe Opera 8 New!.exe XXX hardcore images.exe WinAmp 6 New!.exe WinAmp 5 Pro Keygen Crack Update.exe Adobe Photoshop 9 full.exe Matrix 3 Revolution English Subtitles.exe ACDSee 9.exe