Name:TR/Dldr.Bagle.FJ
Entdeckt am:04/02/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:5.632 Bytes
MD5 Prüfsumme:220D6a98d0f06846a01ce50Dddd9a27d
VDF Version:6.33.00.195

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.Beagle.DN@mm
   •  Mcafee: W32/Bagle.dq
   •  TrendMicro: TROJ_DLOADER.BOI
   •  Bitdefender: Trojan.Downloader.Small.IJ

Wurde zuvor wie folgt erkannt:
   •  Worm/Bagle.FJ.2


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://dook.**********
   • http://debut.**********
   • http://myphoto**********
   • http://ijj.t**********
   • http://209.16.85.230/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\win%zufällige Buchstabenkombination%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %Verzeichnis in dem die Malware ausgeführt
      wurde%\%ausgeführte Datei%=%Verzeichnis in dem die
      Malware ausgeführt wurde%\%ausgeführte
      Datei%:*:Enabled:ipsec

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • bagla_super_downloader_1000

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 13. Februar 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 20. Februar 2006

zurück . . . .