TR/Bagle.CU - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Bagle.CU
Entdeckt am:	20/09/2005
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	35.146 Bytes
MD5 Prüfsumme:	a543640698380e7a3fe5607cfc42304c
VDF Version:	6.32.0.21

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Tooso.P
   • Mcafee: W32/Bagle.cl
   • Kaspersky: Email-Worm.Win32.Bagle.de
   • TrendMicro: TROJ_BAGLE.DA
   • Bitdefender: Win32.Bagle.CZ@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winshost.exe

Folgende Dateien werden umbenannt:

    • AUPDATE.EXE nach AUPD1ATE.EXE
    • av.dll nach a5v.dll
    • Avconsol.exe nach Avc1onsol.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • cafix.exe nach c6a5fix.exe
    • ccApp.exe nach ccA1pp.exe
    • CCEVTMGR.EXE nach C1EVTMGR.EXE
    • ccl30.dll nach cc1l30.dll
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • ccvrtrst.dll nach ccv1rtrst.dll
    • CMGrdian.exe nach CM1Grdian.exe
    • isafe.exe nach is5a6fe.exe
    • KAV.exe nach K2A2V.exe
    • kavmm.exe nach kav12mm.exe
    • LUALL.EXE nach LUAL1L.EXE
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • Luupdate.exe nach Luup1date.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • outpost.exe nach outp1ost.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • symlcsvc.exe nach s1ymlcsvc.exe
    • Up2Date.exe nach Up222Date.exe
    • vetredir.dll nach ve6tre5dir.dll
    • Vshwin32.exe nach Vshw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • vsvault.dll nach vs6va5ult.dll
    • zlclient.exe nach zlcli6ent.exe
    • zonealarm.exe nach zo3nealarm.exe
    • zatutor.exe nach zatu6tor.exe
    • zlavscan.dll nach zl5avscan.dll

Es wird folgende Datei erstellt:

– %SYSDIR%\wiwshost.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR\Bagle.CU.1

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • www.**********build.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********hio.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********bras.com/osa6.gif
   • www.**********online.de/osa6.gif
   • www.**********.cn/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********ecurity.de/osa6.gif
   • www.**********ecasa.it/osa6.gif
   • www.**********media.nl/osa6.gif
   • www.**********project.com/osa6.gif
   • www.**********wanjia.com/osa6.gif
   • www.**********anqing.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********gong.org/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com.pl/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********hardtgmbh.de/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********chule-herb.de/osa6.gif
   • www.**********lesser.de/osa6.gif
   • www.**********garoy.com/osa6.gif
   • www.**********occidente.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.fi/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********ters.org/osa6.gif
   • www.**********zeuge.de/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********service.be/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.cl/osa6.gif
   • www.**********tgweb.de/osa6.gif
   • www.**********.sk/osa6.gif
   • www.**********american.com/osa6.gif
   • www.**********shinn.com/osa6.gif
   • www.**********gjuok.com/osa6.gif
   • www.**********bo.com/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********rketvw.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********mbh.com/osa6.gif
   • www.**********.com.pe/osa6.gif
   • www.**********.ee/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********gaderc.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********buecher.de/osa6.gif
   • www.**********nyuan.com/osa6.gif
   • www.**********waaij.nl/osa6.gif
   • www.**********anet.sk/osa6.gif
   • www.**********photo.com/osa6.gif
   • www.**********etaet.de/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********jor.ru/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********.biz/osa6.gif
   • www.**********.home.pl/osa6.gif
   • www.**********steel.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.hk/osa6.gif
   • www.**********pharm.com/osa6.gif
   • www.**********.dehtdocs/osa6.gif
   • www.**********.stir.ac.uk/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********betcs.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********heng.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********basketball.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********venture.com/osa6.gif
   • www.**********.tv/osa6.gif
   • www.**********asoutfitter.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.friko.pl/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.com.pt/osa6.gif
   • www.**********elourway.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********pecchi.it/osa6.gif
   • www.**********.sk/osa6.gif
   • www.**********erchair.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********senelektro.be/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.vn/osa6.gif
   • www.**********.ac.in/osa6.gif
   • www.**********fateh.com/osa6.gif
   • www.**********bank.pl/osa6.gif
   • www.**********.asn.au/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********productions.com/osa6.gif
   • www.**********country.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********industries.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********spruyt.be/osa6.gif
   • www.**********download.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********software.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.edu.sk/osa6.gif
Diese wird lokal gespeichert unter: %WINDIR%\_re_file.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • McAfee Guardian
   • NAV CfgWiz
   • SSC_UserPrompt
   • Symantec NetDriver Monitor
   • Zone Labs Client

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • McAfee.InstantUpdate.Monitor

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SOFTWARE\Agnitum]
   • [HKLM\SOFTWARE\KasperskyLab]
   • [HKLM\SOFTWARE\McAfee]
   • [HKLM\SOFTWARE\Panda Software]
   • [HKLM\SOFTWARE\Symantec]
   • [HKLM\SOFTWARE\Zone Labs]

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\FirstRun]
   • "FirstRunRR"=dword:00000001

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • 09_price.zip
   • new__price.zip
   • new_price.zip
   • newprice.zip
   • price2.zip
   • price_09.zip
   • price_new.zip

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AVPUPD.EXE; AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; ESCANHNT.EXE; FIREWALL.EXE; ICSSUPPNT.EXE;
      ICSUPP95.EXE; LUALL.EXE; MCUPDATE.EXE; NUPGRADE.EXE; OUTPOST.EXE;
      UPDATE.EXE; UPGRADER.EXE

Liste der Dienste die beendet werden:
   • Ahnlab task Scheduler; alerter; AlertManger; AVExch32Service;
      avg7alrt; avg7updsvc; AvgCore; AvgFsh; AvgServ; AVPCC; AVUPDService;
      AvxIni; awhost32; backweb client - 4476822; BackWeb Client - 7681197;
      BlackICE; CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe;
      DefWatch; dvpapi; dvpinit; fsbwsys; FSDFWD; F-Secure Gatekeeper
      Handler Starter; FSMA; KAVMonitorService; kavsvc; KLBLMain; McAfee
      Firewall; McAfeeFramework; McShield; McTaskManager; mcupdmgr.exe;
      MCVSRte; MonSvcNT; navapsvc; navapsvc; Network Associates Log Service;
      NISSERV; NISUM; NOD32ControlCenter; NOD32Service; Norman NJeeves;
      Norman ZANDA; Norton Antivirus Server; NPFMntor; NProtectService;
      NSCTOP; nvcoas; NVCScheduler; nwclntc; nwclntd; nwclnte; nwclntf;
      nwclntg; nwclnth; NWService; Outbreak Manager; Outpost Firewall;
      OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt; PavPrSrv; PAVSRV;
      PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE; SAVScan;
      SBService; schscnt; sharedaccess; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic
      AntiVirus Plug-in; vsmon; wscsvc; wuauserv; XCOMM

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wiwshost.exe

Prozessname:
• explorer.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Tue, 20 Sep 2005 13:52 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Thu, 22 Sep 2005 13:41 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück