English
Deutsch
Français
Español
Italiano
Home
Vireninfos
TR/Drop.Bagle.FU.1
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
TR/Drop.Bagle.FU.1 - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Drop.Bagle.FU.1
Entdeckt am:
27/02/2006
Art:
Trojan
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Niedrig bis mittel
Statische Datei:
Ja
Dateigröße:
12.288 Bytes
MD5 Prüfsumme:
027d49e1719f2fa51afca3d794d7d7f4
VDF Version:
6.33.1.30
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Symantec: W32.Beagle.DV
• Kaspersky: Trojan-Downloader.Win32.Bagle.ae
• Bitdefender: Trojan.Glieder.DF
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Lädt Dateien herunter
• Erstellt eine potentiell gefährliche Datei
• Änderung an der Registry
Dateien
Es wird folgende Datei erstellt:
–
%SYSDIR%
\ldr64.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Bagle.FU.DLL
Es wird versucht die folgenden Dateien herunterzuladen:
– Die URLs sind folgende:
• www.befag.ru/**********
• www.bennylife.com/**********
• www.bidsforbaby.com/**********
• www.biotenk.com/**********
• www.calidad.biz/**********
• www.nmtltd.com/**********
• www.boldrussell.com/**********
• www.bulkemailservicenow.com/**********
• www.cansultdubai.ae/**********
• www.chilotitomarino.cl/**********
• www.casino-malibu.ru/**********
• www.khonkaenpoc.com/**********
• ala-bg.net/**********
• eleceltek.com/**********
• alfaclassic.sk/**********
• www.americarising.com/**********
• amerykaameryka.com/**********
• analisisyconsultoria.com/**********
• www.bbrealservis.sk/**********
• www.benininfo.com/**********
• www.bestcheapdomainregistration.info/**********
• www.binhaigolf.com/**********
• www.bitsolution.ro/**********
• www.vnettools.com/**********
• www.bronko-m.ru/**********
• www.bulkemaildirectmarketing.com/**********
• www.cansew.ca/**********
• www.casaquecanta.com/**********
• www.chinaculturedpearl.com/**********
• www.colin18.com/**********
• www.connectesl.com/**********
• allinfo.com.au/**********
• alevibirligi.ch/**********
• allanconi.it/**********
• americasenergyco.com/**********
• amistra.com/**********
• calamarco.com/**********
Diese wird lokal gespeichert unter:
%SYSDIR%
\edlm.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
– Die URLs sind folgende:
• www.bbrealservis.sk/**********
• www.benininfo.com/**********
• www.bestcheapdomainregistration.info/**********
• www.binhaigolf.com/**********
• www.bitsolution.ro/**********
• www.vnettools.com/**********
• www.bronko-m.ru/**********
• www.bulkemaildirectmarketing.com/**********
• www.cansew.ca/**********
• www.casaquecanta.com/**********
• www.chinaculturedpearl.com/**********
• www.colin18.com/**********
• www.connectesl.com/**********
• allinfo.com.au/**********
• alevibirligi.ch/**********
• allanconi.it/**********
• americasenergyco.com/**********
• amistra.com/**********
• calamarco.com/**********
• www.befag.ru/**********
• www.bennylife.com/**********
• www.bidsforbaby.com/**********
• www.biotenk.com/**********
• www.nmtltd.com/**********
• www.boldrussell.com/**********
• www.bulkemailservicenow.com/**********
• www.calidad.biz/**********
• www.cansultdubai.ae/**********
• www.chilotitomarino.cl/**********
• www.casino-malibu.ru/**********
• www.khonkaenpoc.com/**********
• ala-bg.net/**********
• eleceltek.com/**********
• alfaclassic.sk/**********
• www.americarising.com/**********
• amerykaameryka.com/**********
• analisisyconsultoria.com/**********
Diese wird lokal gespeichert unter:
%SYSDIR%
\edlm.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
Registry
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
ldr64]
• LdCount = dword:00000000
• prevt = dword:00000000
• Impersonate = dword:00000000
• Asynchronous = dword:00000001
• DllName = ldr64.dll
• Startup = Startup
Datei Einzelheiten
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Kurzfassung
hier
.
Beschreibung erstellt von Andrei Gherman am Tue, 28 Feb 2006 10:53 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 28 Feb 2006 11:06 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2009 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos TR/Drop.Bagle.FU.1
Diese Seite drucken
.gif)
