Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Bagle.FH
Entdeckt am:03/02/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigre:~17.000 Bytes
VDF Version:6.33.00.194
Heuristik:TR/Bagle.Gen.B

 Allgemein Verbreitungsmethoden:
   • Email
   • Peer to Peer


Aliases:
   •  Symantec: W32.Beagle.DM@mm
   •  Mcafee: W32/Bagle.do@MM
   •  Kaspersky: Email-Worm.Win32.Bagle.fj
   •  TrendMicro: WORM_BAGLE.CL
   •  F-Secure: W32/Bagle.DX@mm
   •  Sophos: Troj/BagleDl-BK
   •  Panda: W32/Bagle.GR.worm
   •  VirusBuster: I-Worm.Bagle.GI
   •  Eset: Win32/Bagle.EZ
   •  Bitdefender: Win32.Worm.Bagle.CL

Wurde zuvor wie folgt erkannt:
     TR/Bagle.Gen.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Terminierung von Sicherheitsprogrammen
   • Ldt Dateien herunter
   • Verfgt ber eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\sysformat.exe



Es wird eine Kopie seiner selbst erstellt. Desweiteren werden zufllige Bytes angehngt welche letztendlich dazu fhren, dass sie nicht mehr mit der Originaldatei identisch ist:
   • %SYSDIR%\sysformat.exeopen



Bereiche werden einer Datei hinzugefgt.
– An: %SYSDIR%\sysformat.exeopen Mit folgendem Inhalt:
   • %zufllige Buchstabenkombination%




Folgende Dateien werden umbenannt:

      aaa.exe nach bbb.exe
      mysuperprog1.exe nach mysuperprog2.exe



Folgende Datei wird gelscht:
   • mysuperprog.exe



Es werden folgende Dateien erstellt:

Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
   • %SYSDIR%\sysformat.exeopenopen

%SYSDIR%\sysformat.exeopenopenopen Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %zufllige Buchstabenkombination%




Es wird versucht folgende Datei herunterzuladen:

Die URLs sind folgende:
   • http://www.cnsrvr.com/**********
   • http://www.casinofunnights.com/**********
   • http://www.ec.cox-wacotrib.com/**********
   • http://www.crazyiron.ru/**********
   • http://www.uni-esma.de/**********
   • http://www.sorisem.net/**********
   • http://www.varc.lv/**********
   • http://www.belwue.de/**********
   • http://www.thetildegroup.com/**********
   • http://www.vybercz.cz/**********
   • http://www.kyno.cz/**********
   • http://www.forumgestionvilles.com/**********
   • http://www.campus-and-more.com/**********
   • http://www.capitalforex.com/**********
   • http://www.capitalspreadspromo.com/**********
   • http://www.prineus.de/**********
   • http://www.databoots.de/**********
   • http://www.steintrade.net/**********
   • http://www.njzt.net/**********
   • http://www.emarrynet.com/**********
   • http://www.zebrachina.net/**********
   • http://www.lxlight.com/**********
   • http://www.yili-lighting.com/**********
   • http://www.fachman.com/**********
   • http://www.q-serwer.net/**********
   • http://www.wellness-i.com/**********
   • http://www.newportsystemsusa.com/**********
   • http://www.westcoastcadd.com/**********
   • http://www.wing49.cz/**********
   • http://www.posteffects.com/**********
   • http://www.provax.sk/**********
   • http://www.casinobrillen.de/**********
   • http://www.duodaydream.nl/**********
   • http://www.finlaw.ru/**********
   • http://www.fitdina.com/**********
   • http://www.flashcardplayer.com/**********
   • http://www.flox-avant.ru/**********
   • http://www.lotslink.com/**********
   • http://www.algor.com/**********
   • http://www.gaspekas.com/**********
   • http://www.ezybidz.com/**********
   • http://www.genesisfinancialonline.com/**********
   • http://www.georg-kuenzle.ch/**********
   • http://www.girardelli.com/**********
   • http://www.rodoslovia.ru/**********
   • http://www.golden-gross.ru/**********
   • http://www.gregoryolson.com/**********
   • http://www.gtechna.com/**********
   • http://www.lunardi.com/**********
   • http://www.sgmisburg.de/**********
   • http://www.harmony-farms.net/**********
   • http://www.hftmusic.com/**********
   • http://www.hiwmreport.com/**********
   • http://www.horizonimagingllc.com/**********
   • http://www.hotelbus.de/**********
   • http://www.howiwinmoney.com/**********
   • http://www.ietcn.com/**********
   • http://www.import-world.com/**********
   • http://www.houstonzoo.org/**********
   • http://www.interorient.ru/**********
   • http://www.internalcardreaders.com/**********
   • http://www.interstrom.ru/**********
   • http://www.iutoledo.org/**********
   • http://www.wena.net/**********
   • http://www.iesgrantarajal.org/**********
   • http://www.alexandriaradiology.com/**********
   • http://www.booksbyhunter.com/**********
   • http://www.wxcsxy.com/**********
   • http://www.coupdepinceau.com/**********
   • http://www.erotologist.com/**********
   • http://www.jackstitt.com/**********
   • http://www.imspress.com/**********
   • http://www.digitalefoto.net/**********
   • http://www.josemarimuro.com/**********
   • http://www.eversetic.com/**********
   • http://www.curious.be/**********
   • http://www.kameo-bijux.ru/**********
   • http://www.karrad6000.ru/**********
   • http://www.kaztransformator.kz/**********
   • http://www.keywordthief.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\re_file.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Der folgendeRegistryschlssel wird in einer Endlosschleife fortlaufen hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • sysformat = %SYSDIR%\sysformat.exe



Die Werte der folgenden Registry keys werden gelscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • My AV
   • ICQ Net

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • My AV
   • ICQ Net



Alle Werte der folgenden Registryschlssel und alle Subkeys werden gelscht:
   • [HKCU\Software\New Key 1\1]
   • [HKCU\Software\New Key 1\2]
   • [HKCU\Software\New Key 1\New Key 1]



Folgende Registryschlssel werden hinzugefgt:

[HKCU\Software\Microsoft\Params]
   • FirstRun = dword:00000001

[HKLM\SOFTWARE\Microsoft\DownloadManager]


Folgender Registryschlssel wird gendert:

Deaktiviere Windows Firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • Start = %Einstellungen des Benutzers%
   Neuer Wert:
   • Start = dword:00000004

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.


Betreff:
Eine der folgenden:
   • Delivery service mail
   • Delivery by mail
   • Registration is accepted
   • Is delivered mail
   • You are made active



Body:
Der Body der Email ist einer der folgenden:
   • Thanks for use of our software.
   • Before use read the help.


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • wsd01.zip
   • viupd02.zip
   • siupd02.zip
   • guupd02.zip
   • zupd02.zip
   • upd02.zip
   • Jol03.zip

Der Dateianhang ist eine Kopie der erstellten Datei: %SYSDIR%\sysformat.exeopenopen



Die Email knnte wie eine der folgenden aussehen.



 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @microsoft; rating@; f-secur; news; update; anyone@; bugs@; contract@;
      feste; gold-certs@; help@; info@; nobody@; noone@; kasp; admin;
      icrosoft; support; ntivi; unix; bsd; linux; listserv; certific; sopho;
      @foo; @iana; free-av; @messagelab; winzip; google; winrar; samples;
      abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@


Kontaktiert DNS:
Es wird nicht versucht den standard DNS Server zu verwenden.
Es besitzt die Fhigkeit folgenden DNS Server zu kontaktieren:
   • 217.5.97.137

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:


   Es wird nach Verzeichnissen gesucht welche folgende Zeichenkette enthalten:
   • shar

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • 1.exe; 2.exe; 3.exe; 4.exe; 5.scr; 6.exe; 7.exe; 8.exe; 9.exe; 10.exe;
      Ahead Nero 7.exe; Windown Longhorn Beta Leak.exe; Opera 8 New!.exe;
      XXX hardcore images.exe; WinAmp 6 New!.exe; WinAmp 5 Pro Keygen Crack
      Update.exe; Adobe Photoshop 9 full.exe; Matrix 3 Revolution English
      Subtitles.exe; ACDSee 9.exe


 Hosts Die hosts Datei wird wie folgt gendert:

In diesem Fall werden die bestehenden Eintrge gelscht.

Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • ad.doubleclick.net; ad.fastclick.net; ads.fastclick.net;
      ar.atwola.com; atdmt.com; avp.ch; avp.com; avp.ru; awaps.net;
      banner.fastclick.net; banners.fastclick.net; ca.com; click.atdmt.com;
      clicks.atdmt.com; dispatch.mcafee.com; download.mcafee.com;
      download.microsoft.com; downloads.microsoft.com; engine.awaps.net;
      fastclick.net; f-secure.com; ftp.f-secure.com; ftp.sophos.com;
      go.microsoft.com; liveupdate.symantec.com; mast.mcafee.com;
      mcafee.com; media.fastclick.net; msdn.microsoft.com; my-etrust.com;
      nai.com; networkassociates.com; office.microsoft.com;
      phx.corporate-ir.net; secure.nai.com; securityresponse.symantec.com;
      service1.symantec.com; sophos.com; spd.atdmt.com;
      support.microsoft.com; symantec.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; vil.nai.com; viruslist.ru;
      windowsupdate.microsoft.com; www.avp.ch; www.avp.com; www.avp.ru;
      www.awaps.net; www.ca.com; www.fastclick.net; www.f-secure.com;
      www.kaspersky.ru; www.mcafee.com; www.my-etrust.com; www.nai.com;
      www.networkassociates.com; www.sophos.com; www.symantec.com;
      www.trendmicro.com; www.viruslist.ru; www3.ca.com




Die modifizierte Host Datei sieht wie folgt aus:


 Prozess Beendigung Liste der Prozesse die beendet werden:
   • mcagent.exe; mcvsshld.exe; mcshield.exe; mcvsescn.exe; mcvsrte.exe;
      DefWatch.exe; Rtvscan.exe; ccEvtMgr.exe; NISUM.EXE; ccPxySvc.exe;
      navapsvc.exe; NPROTECT.EXE; nopdb.exe; ccApp.exe; Avsynmgr.exe;
      VsStat.exe; Vshwin32.exe; alogserv.exe; RuLaunch.exe; Avconsol.exe;
      PavFires.exe; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
      AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE;
      ESCANH95.EXE; AVXQUAR.EXE; ESCANHNT.EXE; ATUPDATER.EXE; AUPDATE.EXE;
      AUTOTRACE.EXE; AUTOUPDATE.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE;
      CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE; MCUPDATE.EXE; pavsrv50.exe;
      AVENGINE.EXE; APVXDWIN.EXE; pavProxy.exe; navapw32.exe; navapsvc.exe;
      ccProxy.exe; navapsvc.exe; NPROTECT.EXE; SAVScan.exe; SNDSrvc.exe;
      symlcsvc.exe; LUCOMS~1.EXE; blackd.exe; bawindo.exe;
      FrameworkService.exe; VsTskMgr.exe; SHSTAT.EXE; UpdaterUI.exe


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 3. Februar 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 10. Februar 2006

zurück . . . .