Nom:TR/Dldr.Bagle.FJ
La date de la découverte:04/02/2006
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:5.632 Octets
Somme de contrôle MD5:220D6a98d0f06846a01ce50Dddd9a27d
Version VDF:6.33.00.195

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: W32.Beagle.DN@mm
   •  Mcafee: W32/Bagle.dq
   •  TrendMicro: TROJ_DLOADER.BOI
   •  Bitdefender: Trojan.Downloader.Small.IJ

Avant, il était détecté comme:
   •  Worm/Bagle.FJ.2


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il modifie des registres

 Fichiers Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://dook.**********
   • http://debut.**********
   • http://myphoto**********
   • http://ijj.t**********
   • http://209.16.85.230/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\win%chaîne de caractères aléatoire%.tmp Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %le dossier d'exécution du malware%\%le fichier
      exécuté%=%le dossier d'exécution du malware%\%le
      fichier exécuté%:*:Enabled:ipsec

 Informations divers Mutex:
Il crée le Mutex suivant:
   • bagla_super_downloader_1000

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le lundi 13 février 2006
Description mise à jour par Andrei Gherman le lundi 20 février 2006

Retour . . . .