TR/Bagle.DH - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Bagle.DH
Entdeckt am:	21/09/2005
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	30.878 Bytes
MD5 Prüfsumme:	a52e2715a253b1f53b9cffdd11d4e0d0
VDF Version:	6.32.0.34

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: W32.Beagle.CG@mm
   • Kaspersky: Email-Worm.Win32.Bagle.dh
   • Bitdefender: Win32.Bagle.DM@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\windll2.exe

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://localhost/sss.php
   • http://localhost/script2.php
   • http://localhost/script3.php
   • http://**********.com/images/web.php
   • http://amerikansk**********.dk/images/web.php
   • http://**********.com/help/web.php
   • http://**********.com/lyra/web.php
   • http://**********.cl/images/web.php
   • http://**********.com/images/web.php
   • http://**********.nl/images/web.php
   • http://**********.com/bovedas/web.php
Diese wird lokal gespeichert unter: %WINDIR%\eml.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "ICQ Net"
   • "SkynetsRevenge"
   • "KasperskyAVEng"
   • "Norton Antivirus AV"
   • "PandaAVEngine"
   • "EasyAV"
   • "SysMonXP"
   • "MsInfo"
   • "FirewallSvr"
   • "Jammer2nd"
   • "NetDy"
   • "HtProtect"
   • "ICQNet"
   • "Tiny AV"
   • "service"
   • "Special Firewall Service"
   • "Antivirus"
   • "9XHtProtect"
   • "Zone Labs Client Ex"
   • "My AV"

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "ICQ Net"
   • "SkynetsRevenge"
   • "KasperskyAVEng"
   • "Norton Antivirus AV"
   • "PandaAVEngine"
   • "EasyAV"
   • "SysMonXP"
   • "MsInfo"
   • "FirewallSvr"
   • "Jammer2nd"
   • "NetDy"
   • "HtProtect"
   • "ICQNet"
   • "Tiny AV"
   • "service"
   • "Special Firewall Service"
   • "Antivirus"
   • "9XHtProtect"
   • "Zone Labs Client Ex"
   • "My AV"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n]
   • "%SYSDIR%\windll2.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

An:
– Gesammelte Adressen aus dem Internet.

Betreff:
Die Betreffzeile ist leer.

Body:
Der Body der Email ist einer der folgenden:
   • price
   • new price

Dateianhang:
Der Ihnalt dieser Datei ist keine Kopie seiner selbst aber enthält anderen Schadcode. Eine Beschreibung findet sich hier: TR/Bagle.CW

Der Dateiname des Anhangs ist einer der folgenden:
   • 09_price.zip
   • new__price.zip
   • new_price.zip
   • newprice.zip
   • price.zip
   • price_09.zip
   • price_new.zip
   • price2.zip

Die Email sieht wie folgt aus:

Versand Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      admin; icrosoft; support; ntivi; linux; listserv; certific; sopho;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; @avp.; noreply; local; root@; postmaster@

MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • smtp.mail.ru

Kontaktiert DNS:
Schlägt die Anfrage mit dem Standard DNS fehl wird mit folgendem weitergemacht.
Es besitzt die Fähigkeit folgenden DNS Server zu kontaktieren:
   • 194.190.195.66

Hintertür Der folgende Port wird geöffnet:

– %ausgeführte Datei% am TCP Port 80 um einen Proxy Server zur Verfügung zu stellen.

Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Razvan Olteanu am Thu, 22 Sep 2005 10:35 (GMT+1)
Beschreibung geändert von Razvan Olteanu am Mon, 26 Sep 2005 12:46 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück