TR/Bagle.CY - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Bagle.CY
Entdeckt am:	20/09/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	38.408 Bytes
MD5 Prüfsumme:	aad4a3c6e090e2687320f19e4f3f8034
VDF Version:	6.32.0.28

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Tooso.Q
   • Kaspersky: Email-Worm.Win32.Bagle.dk
   • Bitdefender: Win32.Bagle.DI@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winshost.exe

Folgende Dateien werden umbenannt:

    • AUPDATE.EXE nach AUPD1ATE.EXE
    • av.dll nach a5v.dll
    • Avconsol.exe nach Avc1onsol.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • cafix.exe nach c6a5fix.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • isafe.exe nach is5a6fe.exe
    • KAV.exe nach K2A2V.exe
    • kavmm.exe nach kav12mm.exe
    • LUALL.EXE nach LUAL1L.EXE
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • Luupdate.exe nach Luup1date.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • Up2Date.exe nach Up222Date.exe
    • vetredir.dll nach ve6tre5dir.dll
    • Vshwin32.exe nach Vshw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • vsvault.dll nach vs6va5ult.dll
    • zatutor.exe nach zatu6tor.exe
    • zlavscan.dll nach zl5avscan.dll
    • zlclient.exe nach zlcli6ent.exe
    • zonealarm.exe nach zo3nealarm.exe

– %SYSDIR%\wiwshost.exe Erkannt als: TR/Bagle.CY.1

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • www.**********.be/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.ac.uk/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.edu.sk/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.dobrcz.pl/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********.cl/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.ee/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.ac.in/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.nl/osa6.gif
   • www.**********fi/osa6.gif
   • www.**********.press-bank.pl/osa6.gif
   • www.**********.asn.au/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.cn/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********ru/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.biz/osa6.gif
   • www.**********.home.pl/osa6.gif
   • www.**********.com.pt/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.dehtdocs/osa6.gif
   • www.**********.com.hk/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.pe/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.tv/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com.pl/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.nl/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.ch/osa6.gif
Diese wird lokal gespeichert unter: %WINDIR%\_re_file.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Bagle.DE.3.A

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "McAfee.InstantUpdate.Monitor"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Zone Labs Client"
   • "avg7_emc"
   • "avg7_cc"
   • "KAV50"
   • "APVXDWIN"
   • "McAfee Guardian"
   • "SSC_UserPrompt"
   • "NAV CfgWiz"
   • "ccApp"
   • "Symantec NetDriver Monitor"

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SOFTWARE\Zone Labs]
   • [HKLM\SOFTWARE\Panda Software]
   • [HKLM\SOFTWARE\Agnitum]
   • [HKLM\SOFTWARE\KasperskyLab]
   • [HKLM\SOFTWARE\McAfee]
   • [HKLM\SOFTWARE\Symantec]

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\FirstRun]
   • "FirstRunRR" = dword:00000001

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AVPUPD.EXE; AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; ESCANHNT.EXE; FIREWALL.EXE; ICSSUPPNT.EXE;
      ICSUPP95.EXE; LUALL.EXE; MCUPDATE.EXE; NUPGRADE.EXE; OUTPOST.EXE;
      UPDATE.EXE; UPGRADER.EXE

Liste der Dienste die beendet werden:
   • Ahnlab task Scheduler; alerter; AlertManger; AVExch32Service;
      avg7alrt; avg7updsvc; AvgCore; AvgFsh; AvgServ; avpcc; AVUPDService;
      AvxIni; awhost32; backweb client - 4476822; BackWeb Client - 7681197;
      backweb client-4476822; BlackICE; CAISafe; ccEvtMgr; ccPwdSvc;
      ccSetMgr; ccSetMgr.exe; DefWatch; dvpapi; dvpinit; fsbwsys; fsdfwd;
      F-Secure Gatekeeper Handler Starter; KAVMonitorService; kavsvc;
      KLBLMain; McAfee Firewall; McAfeeFramework; McShield; McTaskManager;
      mcupdmgr.exe; MCVSRte; MonSvcNT; navapsvc; Network Associates Log
      Service; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; Norman
      NJeeves; Norman ZANDA; Norton Antivirus Server; NPFMntor;
      NProtectService; NSCTOP; nvcoas; NVCScheduler; nwclntc; nwclntd;
      nwclnte; nwclntf; nwclntg; nwclnth; NWService; Outbreak Manager;
      Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt;
      PavPrSrv; PAVSRV; PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE;
      SAVScan; SBService; schscnt; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic
      AntiVirus Plug-in; vsmon; wuauserv; XCOMM

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wiwshost.exe

Prozessname:
• explorer.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Razvan Olteanu am Wed, 21 Sep 2005 13:09 (GMT+1)
Beschreibung geändert von Razvan Olteanu am Fri, 23 Sep 2005 11:32 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück