Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Bagle.EB
Entdeckt am:07/11/2005
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:17.858 Bytes
MD5 Prüfsumme:5da48adaa372b9754140812317cd3870
VDF Version:6.32.00.152

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.Beagle@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.en
   •  TrendMicro: WORM_BAGLE.BS
   •  Sophos: W32/Bagle-AR
   •  Grisoft: I-Worm/Bagle.IR
   •  VirusBuster: I-Worm.Bagle.EK
   •  Eset: Win32/Bagle.ES
   •  Bitdefender: Win32.Bagle.EK@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\windll2.exe




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://ekshrine.com/images/**********
   • http://www.familia-sanchez.net/images/**********
   • http://www.asymchem.com/images/**********
   • http://www.baku-xeber.com/images/**********
   • http://www.abmedical.pl/images/**********
   • http://www.cellphonemadeinchina.com/images/**********
Diese wird lokal gespeichert unter: %WINDIR%\eml.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URLs sind folgende:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Diese wird lokal gespeichert unter: %SYSDIR%\re_file.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Die Werte der folgenden Registry keys werden gelöscht:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"



Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


Betreff:
Die Betreffzeile ist leer.


Body:
Der Body der Email ist einer der folgenden:
   • Password:
   • The password is:
   • info
   • texte


Dateianhang:
Der Ihnalt dieser Datei ist keine Kopie seiner selbst aber enthält anderen Schadcode.

Der Dateiname des Anhangs ist einer der folgenden:
   • text_sms.zip
   • sms_text.zip
   • The_new_prices.zip
   • Info_prices.zip
   • Business_dealing.zip
   • max.zip
   • Health_and_knowledge.zip
   • Business.zip

 Versand  Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
      Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
      Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
      Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
      Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
      Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
      Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
      James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
      Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
      Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
      Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
      Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
      Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
      Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
      Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
      Wynefreed; Wynnefreede



Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@


MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • smtp.mail.ru

 Prozess Beendigung Es wird versucht folgende Prozesse zu beenden und die zugehörigen Dateien zu löschen:
   • 1t1epad.exe
   • t1es1t.exe


 Hintertür Der folgende Port wird geöffnet:

%SYSDIR%\windll2.exe am TCP Port 80 um einen Proxy Server zur Verfügung zu stellen.

 Diverses Es werden folgende Mutexe erzeugt:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 29. Mai 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 29. Mai 2006

zurück . . . .