Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Bagle.GC
Entdeckt am:30/11/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:188.422 Bytes
MD5 Prfsumme:23e143e87ff2fb1be5a3e2b2d93ce283
VDF Version:6.36.01.108
IVDF Version:6.36.01.113
Heuristik:HEUR/Crypted

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Email-Worm.Win32.Bagle.gr
   •  F-Secure: W32/Bagle.GO
   •  Sophos: W32/Bagle-QS
   •  Grisoft: I-Worm/Bagle.OI
   •  Eset: Win32/Bagle.HB

Wurde zuvor wie folgt erkannt:
     TR/Bagle.GC


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Ldt Dateien herunter
   • Erstellt eine potentiell gefhrliche Datei
   • Verfgt ber eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %APPDATA%\hidn\hldrrr.exe
   • %APPDATA%\hidn\hidn2.exe



Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • C:\temp.zip



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\aspr_keys.ini

C:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • UTF-8 decoding error.

%HOME%\Application Data\hidn\m_hook.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rkit.Bagle.GL




Es wird versucht die folgenden Dateien herunterzuladen:

Die URLs sind folgende:
   • http://ujscie.one.pl/**********
   • http://1point2.iae.nl/**********
   • http://appaloosa.no/**********
   • http://apromed.com/**********
   • http://arborfolia.com/**********
   • http://pawlacz.com/**********
   • http://areal-realt.ru/**********
   • http://bitel.ru/**********
   • http://yetii.no-ip.com/**********
   • http://art4u1.superhost.pl/**********
   • http://www.artbed.pl/**********
   • http://art-bizar.foxnet.pl/**********
   • http://www.jonogueira.com/**********
   • http://asdesign.cz/**********
   • http://ftp-dom.earthlink.net/**********
   • http://www.aureaorodeley.com/**********
   • http://www.autoekb.ru/**********
   • http://www.autovorota.ru/**********
   • http://avenue.ee/**********
   • http://ouarzazateservices.com/**********
   • http://stats-adf.altadis.com/**********
   • http://bartex-cit.com.pl/**********
   • http://bazarbekr.sk/**********
   • http://gnu.univ.gda.pl/**********
   • http://bid-usa.com/**********
   • http://biliskov.com/**********
   • http://biomedpel.cz/**********
   • http://blackbull.cz/**********
   • http://bohuminsko.cz/**********
   • http://bonsai-world.com.au/**********
   • http://bpsbillboards.com/**********
   • http://cadinformatics.com/**********
   • http://canecaecia.com/**********
   • http://www.castnetnultimedia.com/**********
   • http://compucel.com/**********
   • http://continentalcarbonindia.com/**********
   • http://ceramax.co.kr/**********
   • http://prime.gushi.org/**********
   • http://www.chapisteriadaniel.com/**********
   • http://charlesspaans.com/**********
   • http://chatsk.wz.cz/**********
   • http://www.chittychat.com/**********
   • http://checkalertusa.com/**********
   • http://cibernegocios.com.ar/**********
   • http://5050clothing.com/**********
   • http://cof666.shockonline.net/**********
   • http://comaxtechnologies.net/**********
   • http://concellodesandias.com/**********
   • http://www.cort.ru/**********
   • http://donchef.com/**********
   • http://www.crfj.com/**********
   • http://kremz.ru/**********
   • http://dev.jintek.com/**********
   • http://foxvcoin.com/**********
   • http://uwua132.org/**********
   • http://v-v-kopretiny.ic.cz/**********
   • http://erich-kaestner-schule-donaueschingen.de/**********
   • http://vanvakfi.com/**********
   • http://axelero.hu/**********
   • http://kisalfold.com/**********
   • http://vega-sps.com/**********
   • http://vidus.ru/**********
   • http://viralstrategies.com/**********
   • http://svatba.viskot.cz/**********
   • http://Vivamodelhobby.com/**********
   • http://vkinfotech.com/**********
   • http://vytukas.com/**********
   • http://waisenhaus-kenya.ch/**********
   • http://watsrisuphan.org/**********
   • http://www.ag.ohio-state.edu/**********
   • http://wbecanada.com/**********
   • http://calamarco.com/**********
   • http://vproinc.com/**********
   • http://grupdogus.de/**********
   • http://knickimbit.de/**********
   • http://dogoodesign.ch/**********
   • http://systemforex.de/**********
   • http://zebrachina.net/**********
   • http://www.walsch.de/**********
   • http://hotchillishop.de/**********
   • http://innovation.ojom.net/**********
   • http://massgroup.de/**********
   • http://web-comp.hu/**********
   • http://webfull.com/**********
   • http://welvo.com/**********
   • http://www.ag.ohio-state.edu/**********
   • http://poliklinika-vajnorska.sk/**********
   • http://wvpilots.org/**********
   • http://www.kersten.de/**********
   • http://www.kljbwadersloh.de/**********
   • http://www.voov.de/**********
   • http://www.wchat.cz/**********
   • http://www.wg-aufbau-bautzen.de/**********
   • http://www.wzhuate.com/**********
   • http://zsnabreznaknm.sk/**********
   • http://xotravel.ru/**********
   • http://ilikesimple.com/**********
   • http://yeniguntugla.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\re_file.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • drv_st_key = %APPDATA%\hidn\hidn2.exe



Die folgenden Registryschlssel werden hinzugefgt um den Service nach einem Neustart des Systems erneut zu laden.

[HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%APPDATA%\hidn\m_hook.sys
   • DisplayName = Empty



Alle Werte des folgenden Registryschlssel und alle Subkeys werden gelscht:
   • [HKLM\SYSTEM\CurrentControlSet\Control\Safeboot]



Folgender Registryschlssel wird hinzugefgt:

[HKCU\Software\FirstRuxzx]
   • FirstRu21n = 1

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
Die folgende Emailadresse:
   • user%mehrere beliebige Ziffern% @gmail.com


Betreff:
Eine der folgenden:
   • price_new%aktuelles Datum%
   • price_ %aktuelles Datum%
   • price%aktuelles Datum%
   • price %aktuelles Datum%



Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist einer der folgenden:

   • It Is Protected
     Passwrd: %Bild welches das Passwort enthlt%

   • thank you !!!
     Passwrd: %Bild welches das Passwort enthlt%

   • New year's discounts
     Passwrd: %Bild welches das Passwort enthlt%


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • price%aktuelles Datum%.zip
   • new_price%aktuelles Datum%.zip
   • price_list%aktuelles Datum%.zip
   • latest_price%aktuelles Datum%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
      gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@


Kontaktiert DNS:
Schlgt die Anfrage mit dem Standard DNS fehl wird mit folgendem weitergemacht.
Es besitzt die Fhigkeit folgenden DNS Server zu kontaktieren:
   • 217.5.97.137

 Prozess Beendigung  Liste der Dienste die beendet werden:
   • Aavmker4; ABVPN2K; ADFirewall; AFWMCL; Ahnlab task Scheduler; alerter;
      AlertManger; AntiVir Service; AntiyFirewall; aswMon2; aswRdr; aswTdi;
      aswUpdSv; Ati HotKey Poller; avast! Antivirus; avast! Mail Scanner;
      avast! Web Scanner; AVEService; AVExch32Service; AvFlt; Avg7Alrt;
      Avg7Core; Avg7RsW; Avg7RsXP; Avg7UpdSvc; AvgCore; AvgFsh; AVGFwSrv;
      AvgFwSvr; AvgServ; AvgTdi; AVIRAMailService; AVIRAService; avpcc;
      AVUPDService; AVWUpSrv; AvxIni; awhost32; backweb client - 4476822;
      BackWeb Client - 7681197; backweb client-4476822; Bdfndisf; bdftdif;
      bdss; BlackICE; BsFileSpy; BsFirewall; BsMailProxy; CAISafe; ccEvtMgr;
      ccPwdSvc; ccSetMgr; ccSetMgr.exe; DefWatch; drwebnet; dvpapi; dvpinit;
      ewido security suite control; ewido security suite driver; ewido
      security suite guard; F-Prot Antivirus Update Monitor; F-Secure
      Gatekeeper Handler Starter; firewall; fsbwsys; FSDFWD; FSFW; FSMA;
      FwcAgent; fwdrv; Guard NT; HSnSFW; HSnSPro; InoRPC; InoRT; InoTask;
      Ip6Fw; Ip6FwHlp; KAVMonitorService; KAVSvc; KLBLMain; KPfwSvc;
      KWatch3; KWatchSvc; McAfee Firewall; McAfeeFramework; McShield;
      McTaskManager; mcupdmgr.exe; MCVSRte; Microsoft NetWork FireWall
      Services; MonSvcNT; MpfService; navapsvc; Ndisuio; NDIS_RD; Network
      Associates Log Service; nipsvc; NISSERV; NISUM; NOD32ControlCenter;
      NOD32krn; NOD32Service; Norman NJeeves; Norman Type-R; Norman ZANDA;
      Norton AntiVirus Server; NPDriver; NPFMntor; NProtectService; NSCTOP;
      nvcoas; NVCScheduler; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg;
      nwclnth; NWService; OfcPfwSvc; Outbreak Manager; Outpost Firewall;
      OutpostFirewall; PASSRV; PAVAGENTE; PavAtScheduler; PAVDRV; PAVFIRES;
      PAVFNSVR; Pavkre; PavProc; PavProt; PavPrSrv; PavReport; PAVSRV;
      PCCPFW; PCC_PFW; PersFW; Personal Firewall; PREVSRV; PSIMSVC;
      qhwscsvc; wscsvc; Quick Heal Online Protection; ravmon8; RfwService;
      SAVFMSE; SAVScan; SBService; schscnt; SharedAccess; SmcService;
      SNDSrvc; SPBBCSvc; SpiderNT; SweepNet; Symantec AntiVirus Client;
      Symantec Core LC; The_Hacker_Antivirus; Tmntsrv; TmPfw; tmproxy;
      tmtdi; tm_cfw; T_H_S_M; V3MonNT; V3MonSvc; Vba32ECM; Vba32ifs;
      Vba32Ldr; Vba32PP3; VBCompManService; VexiraAntivirus; VFILT; VisNetic
      AntiVirus Plug-in; vrfwsvc; vsmon; VSSERV; WinAntivirus; WinRoute;
      wuauserv; xcomm

 Hintertr Kontaktiert Server:
Einer der folgenden:
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********


 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess
– Eigene Registryschlssel


Eingesetzte Methode:
     Unsichtbar von Windows API

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASProtect

Die Beschreibung wurde erstellt von Alexander Vukcevic am Freitag, 1. Dezember 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 4. Dezember 2006

zurück . . . .