TR/Bagle.DG - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Bagle.DG
Entdeckt am:	22/09/2005
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	35.761 Bytes
MD5 Prüfsumme:	2e5e131e4d5a6500b94f68d1c11ffcc5
VDF Version:	6.32.0.33

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Tooso.Q
   • TrendMicro: TROJ_BAGLE.DA
   • F-Secure: W32/Mitglieder.FL
   • Bitdefender: Win32.Bagle.DG@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winshost.exe

Es wird folgende Datei erstellt:

– %SYSDIR%\winshost.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Bagle.DG.1

Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://www.**********.com/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.ch/osa6.gif
   • http://www.**********.com.tw/osa6.gif
   • http://www.**********.cl/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.ee/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.org/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.it/osa6.gif
   • http://www.**********.sk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.tw/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.it/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.ac.in/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.nl/osa6.gif
   • http://www.**********.fi/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.asn.au/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.co.za/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.cn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.org/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.org/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.pt/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.com.hk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.pe/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.vn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.friko.pl/osa6.gif
   • http://www.**********.tv/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.sk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com.pl/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.nl/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.ch/osa6.gif
Diese wird lokal gespeichert unter: %WINDIR%\_re_file.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ccApp
   • NAV CfgWiz
   • SSC_UserPrompt
   • McAfee Guardian
   • APVXDWIN
   • KAV50
   • avg7_cc
   • avg7_emc
   • Zone Labs Client
   • Symantec NetDriver Monitor

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • McAfee.InstantUpdate.Monitor

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\FirstRun]
   • "FirstRunRR"=dword:00000001

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • new__price.zip
   • new_price.zip
   • newprice.zip
   • price2.zip
   • 09_price.zip
   • price_09.zip

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
      AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE;
      ESCANH95.EXE; AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE;
      AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE

Liste der Dienste die beendet werden:
   • wuauserv (Windows Automatic Updates); SharedAccess (Windows
      Firewall/Internet Connection Sharing); Alerter; PAVSRV; PAVFNSVR;
      PSIMSVC; Pavkre; PavProt; PREVSRV; PavPrSrv; SharedAccess; NPFMntor;
      Outpost; Firewall; SAVScan; SBService; Symantec Core LC; ccEvtMgr;
      SNDSrvc; ccPwdSvc; ccSetMgr.exe; SPBBCSvc; KLBLMain; avg7alrt;
      avg7updsvc; vsmon; CAISafe; avpcc; fsbwsys; backweb client - 4476822;
      fsdfwd; F-Secure Gatekeeper Handler Starter; FSMA; KAVMonitorService;
      navapsvc; NProtectService; Norton Antivirus Server; VexiraAntivirus;
      dvpinit; dvpapi; schscnt; BackWeb Client - 7681197; F-Secure;
      Gatekeeper Handler Starter; FSMA; AVPCC; KAVMonitorService; Norman;
      NJeeves; NVCScheduler; nvcoas; Norman ZANDA; PASSRV; SweepNet;
      SWEEPSRV.SYS; NOD32ControlCenter; NOD32Service; PCCPFW; Tmntsrv;
      AvxIni; XCOMM; ravmon8; SmcService; BlackICE; PersFW; McAfee Firewall;
      OutpostFirewall; NWService; NISUM; NISSERV; vsmon; wclnth; nwclntg;
      nwclnte; nwclntf; nwclntd; nwclntc; navapsvc; SAVScan; kavsvc;
      DefWatch; Symantec AntiVirus Client; NSCTOP; Symantec Core LC;
      SAVScan; SAVFMSE; ccEvtMgr; navapsvc; ccSetMgr; VisNetic AntiVirus;
      Plug-in; McShield; AlertManger; McAfeeFramework; AVExch32Service;
      AVUPDService; McTaskManager; Network Associates Log Service; Outbreak;
      Manager; MCVSRte; mcupdmgr.exe; AvgServ; AvgCore; AvgFsh; awhost32;
      Ahnlab task Scheduler; MonSvcNT; V3MonNT; V3MonSvc; FSDFWD

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wiwshost.exe

Prozessname:
• %WINDIR%\explorer.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Catalin Jora am Thu, 22 Sep 2005 11:04 (GMT+1)
Beschreibung geändert von Catalin Jora am Mon, 26 Sep 2005 12:11 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück