TR/Bagle.DE - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Bagle.DE
Entdeckt am:	22/09/2005
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	35.230 Bytes
MD5 Prüfsumme:	E0F359B58004488F7A2609C33A1B35C1
VDF Version:	6.32.0.32

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Symantec: Trojan.Tooso.Q
   • Kaspersky: Email-Worm.Win32.Bagle.dv
   • TrendMicro: TROJ_BAGLE.DA
   • Bitdefender: Win32.Bagle.DK@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winshost.exe

Folgende Dateien werden umbenannt:

    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach Vshw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zonealarm.exe nach zo3nealarm.exe
    • zatutor.exe nach zatu6tor.exe
    • zlavscan.dll nach zl5avscan.dll
    • zlclient.exe nach zlcli6ent.exe
    • isafe.exe nach is5a6fe.exe
    • cafix.exe nach c6a5fix.exe
    • vsvault.dll nach vs6va5ult.dll
    • av.dll nach a5v.dll
    • vetredir.dll nach ve6tre5dir.dll

Es wird folgende Datei erstellt:

– %SYSDIR%\wiwshost.exe Erkannt als: TR/Bagle.DE.1

Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://www.21ebu**********.com/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.acs**********.com/osa6.gif
   • http://www.ag**********.hu/osa6.gif
   • http://www.a**********.com/.vn/osa6.gif
   • http://www.ang**********.de/osa6.gif
   • http://www.ascolf**********.com/osa6.gif
   • http://www.automobil**********.de/osa6.gif
   • http://www.ban**********.cn/osa6.gif
   • http://www.beall**********.com/osa6.gif
   • http://www.b**********.at/osa6.gif
   • http://www.bs-sec**********.de/osa6.gif
   • http://www.centroveste**********.it/osa6.gif
   • http://www.checko**********.nl/osa6.gif
   • http://www.**********project.com/osa6.gif
   • http://www.**********wanjia.com/osa6.gif
   • http://www.czwa**********.com/osa6.gif
   • http://www.**********net.hu/osa6.gif
   • http://www.design**********.org/osa6.gif
   • http://www.dgy.com/**********/osa6.gif
   • http://www.**********-fliesen.de/osa6.gif
   • http://www.discoteka-**********.com/osa6.gif
   • http://www.**********-invest.com/osa6.gif
   • http://www.ea**********.com/osa6.gif
   • http://www.**********club.com/osa6.gif
   • http://www.eh**********.hu/osa6.gif
   • http://www.elvis**********.ch/osa6.gif
   • http://www.engelhard**********.de/osa6.gif
   • http://www.exter**********.hu/osa6.gif
   • http://www.fahrschule**********.de/osa6.gif
   • http://www.**********-lesser.de/osa6.gif
   • http://www.ferme**********.com/osa6.gif
   • http://www.festivalteatro**********.com/osa6.gif
   • http://www.form**********.at/osa6.gif
   • http://www.foto**********.fi/osa6.gif
   • http://www.**********trox.com/.tw/osa6.gif
   • http://www.gepe**********.org/osa6.gif
   • http://www.gimex-**********.de/osa6.gif
   • http://www.**********home.com/.tw/osa6.gif
   • http://www.**********mzn.cz/osa6.gif
   • http://www.**********service.be/osa6.gif
   • http://www.id**********.de/osa6.gif
   • http://www.**********cs.be/osa6.gif
   • http://www.**********er.cl/osa6.gif
   • http://www.inside-**********.de/osa6.gif
   • http://www.**********oli.sk/osa6.gif
   • http://www.**********-american.com/osa6.gif
   • http://www.jeo**********.com/osa6.gif
   • http://www.jing**********.com/osa6.gif
   • http://www.**********-bo.com/osa6.gif
   • http://www.king**********.ch/osa6.gif
   • http://www.marke**********.com/osa6.gif
   • http://www.mega**********.net/osa6.gif
   • http://www.**********ild.at/osa6.gif
   • http://www.ni**********.de/osa6.gif
   • http://www.**********gmbh.com/osa6.gif
   • http://www.**********va.com/.pe/osa6.gif
   • http://www.**********24.ee/osa6.gif
   • http://www.**********link.net/osa6.gif
   • http://www.**********-alliance.de/osa6.gif
   • http://www.pre**********.ch/osa6.gif
   • http://www.renega**********.com/osa6.gif
   • http://www.repl**********.com/osa6.gif
   • http://www.**********buecher.de/osa6.gif
   • http://www.sanjin**********.com/osa6.gif
   • http://www.scvanra**********.nl/osa6.gif
   • http://www.slova**********.sk/osa6.gif
   • http://www.**********photo.com/osa6.gif
   • http://www.socie**********.de/osa6.gif
   • http://www.**********co.org/osa6.gif
   • http://www.soft**********.ru/osa6.gif
   • http://www.so**********.org/osa6.gif
   • http://www.spac**********.biz/osa6.gif
   • http://www.speedcom.**********.pl/osa6.gif
   • http://www.**********-in-steel.at/osa6.gif
   • http://www.spo**********.de/osa6.gif
   • http://www.sport**********.com/osa6.gif
   • http://www.**********y.az/osa6.gif
   • http://www.**********solutions.com/osa6.gif
   • http://www.st-paulus-**********.de/osa6.gif
   • http://www.st**********.com/osa6.gif
   • http://www.steri**********.com/osa6.gif
   • http://www.students.**********.ac.uk/osa6.gif
   • http://www.**********planet.com/osa6.gif
   • http://www.sun**********.com/osa6.gif
   • http://www.super**********.com/osa6.gif
   • http://www.**********eb.cz/osa6.gif
   • http://www.syd**********.com/osa6.gif
   • http://www.**********iheng.com/osa6.gif
   • http://www.**********campus.net/osa6.gif
   • http://www.tec**********.de/osa6.gif
   • http://www.**********-mutan.com/osa6.gif
   • http://www.thai**********.com/osa6.gif
   • http://www.**********venture.com/osa6.gif
   • http://www.**********funkiest.com/osa6.gif
   • http://www.**********step.tv/osa6.gif
   • http://www.thetexas**********.com/osa6.gif
   • http://www.tmhcsd1987.**********.pl/osa6.gif
   • http://www.tous**********.be/osa6.gif
   • http://www.tr**********.com/osa6.gif
   • http://www.travel**********.com/osa6.gif
   • http://www.**********.dobrcz.pl/osa6.gif
   • http://www.tri**********.cz/osa6.gif
   • http://www.**********tonic.ch/osa6.gif
   • http://www.tv-**********.com/osa6.gif
   • http://www.**********-cassinadepecchi.it/osa6.gif
   • http://www.uni**********.sk/osa6.gif
   • http://www.**********chair.com/osa6.gif
   • http://www.u**********.hu/osa6.gif
   • http://www.**********senelektro.be/osa6.gif
   • http://www.vet**********.com/osa6.gif
   • http://www.**********meloni.com/osa6.gif
   • http://www.**********nn.vn/osa6.gif
   • http://www.**********vjiet.ac.in/osa6.gif
   • http://www.vote2**********.com/osa6.gif
   • http://www.vw.**********-bank.pl/osa6.gif
   • http://www.wamba.**********.au/osa6.gif
   • http://www.wdlp.**********.za/osa6.gif
   • http://www.**********corp.com/osa6.gif
   • http://www.**********productions.com/osa6.gif
   • http://www.wilson**********.com/osa6.gif
   • http://www.wind**********.pl/osa6.gif
   • http://www.**********-industries.com/osa6.gif
   • http://www.**********old.pl/osa6.gif
   • http://www.womb**********.com/osa6.gif
   • http://www.**********reme.cz/osa6.gif
   • http://www.xian**********.net/osa6.gif
   • http://www.**********pie.com/osa6.gif
   • http://www.xm**********.com/osa6.gif
   • http://www.xo**********.com/osa6.gif
   • http://www.yannick-**********.be/osa6.gif
   • http://www.**********download.com/osa6.gif
   • http://www.yester**********.za
   • http://www.**********kj.com/osa6.gif
   • http://www.zakazcd.**********.ua/osa6.gif
   • http://www.**********ftware.com/osa6.gif
   • http://www.**********tek.co.za/osa6.gif
   • http://www.zor**********.az/osa6.gif
   • http://www.**********sala.edu.sk/osa6.gif
Diese wird lokal gespeichert unter: %WINDIR%\_re_file.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Bagle.DE.3.A

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Symantec NetDriver Monitor
   • ccApp
   • NAV CfgWiz
   • SSC_UserPrompt
   • McAfee Guardian
   • APVXDWIN
   • KAV50
   • avg7_cc
   • avg7_emc
   • Zone Labs Client

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • McAfee.InstantUpdate.Monitor

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SOFTWARE\Symantec]
   • [HKLM\SOFTWARE\McAfee]
   • [HKLM\SOFTWARE\KasperskyLab]
   • [HKLM\SOFTWARE\Agnitum]
   • [HKLM\SOFTWARE\Panda Software]
   • [HKLM\SOFTWARE\Zone Labs]

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\FirstRun]
   • "FirstRunRR"=dword:00000001

Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Alter Wert:
   • Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\Alerter]
   Alter Wert:
   • Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
      AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE;
      ESCANH95.EXE; AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE;
      AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE

Liste der Dienste die beendet werden:
   • wuauserv (Automatic updates); SharedAccess (Windows Firewall/Internet
      Connection Sharing); alerter; PAVSRV; PAVFNSVR; PSIMSVC; Pavkre;
      PavProt; PREVSRV; PavPrSrv; SharedAccess; navapsvc; NPFMntor; Outpost
      Firewall; SAVScan; SBService; Symantec Core LC; ccEvtMgr; SNDSrvc;
      ccPwdSvc; ccSetMgr.exe; SPBBCSvc; KLBLMain; avg7alrt; avg7updsvc;
      vsmon; CAISafe; avpcc; fsbwsys; backweb client - 4476822; backweb
      client-4476822; fsdfwd; F-Secure Gatekeeper Handler Starter; FSMA;
      KAVMonitorService; navapsvc; NProtectService; Norton Antivirus Server;
      VexiraAntivirus; dvpinit; dvpapi; schscnt; BackWeb Client - 7681197;
      F-Secure Gatekeeper Handler Starter; FSMA; AVPCC; KAVMonitorService;
      Norman NJeeves; NVCScheduler; nvcoas; Norman ZANDA; PASSRV; SweepNet;
      SWEEPSRV.SYS; NOD32ControlCenter; NOD32Service; PCCPFW; Tmntsrv;
      AvxIni; XCOMM; ravmon8; SmcService; BlackICE; PersFW; McAfee Firewall;
      OutpostFirewall; NWService; sharedaccess; NISUM; NISSERV; vsmon;
      nwclnth; nwclntg; nwclnte; nwclntf; nwclntd; nwclntc; navapsvc;
      Symantec Core LC; SAVScan; kavsvc; DefWatch; Symantec AntiVirus
      Client; NSCTOP; Symantec Core LC; SAVScan; SAVFMSE; ccEvtMgr;
      navapsvc; ccSetMgr; VisNetic AntiVirus Plug-in; McShield; AlertManger;
      McAfeeFramework; AVExch32Service; AVUPDService; McTaskManager; Network
      Associates Log Service; Outbreak Manager; MCVSRte; mcupdmgr.exe;
      AvgServ; AvgCore; AvgFsh; awhost32; Ahnlab task Scheduler; MonSvcNT;
      V3MonNT; V3MonSvc; FSDFWD

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wiwshost.exe

Prozessname:
• explorer.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Thu, 22 Sep 2005 13:09 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 23 Sep 2005 10:10 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück