Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Drop.Bagle.FR
La date de la découverte:15/02/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~27.000 Octets
Version VDF:6.33.00.232

 Général Méthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Beagle.DS@mm
   •  Mcafee: W32/Sality.o
   •  Kaspersky: Email-Worm.Win32.Bagle.ae
   •  TrendMicro: WORM_BAGLE.EW
   •  Sophos: W32/Bagle-CO
   •  Panda: W32/Bagle.HC.worm
   •  Bitdefender: Win32.Bagle.FJ@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\lmovie.exe



Ils produisent des copies de leur mêmes. Et en plus des bytes incidentaires vont être attaches, lesquelles ne soient plus identiques avec le fichier original.    • %SYSDIR%\lmovie.exeopen
   • %SYSDIR%\lmovie.exeopenopen



Le fichier suivant est créé:

%WINDIR%\rvcualts32.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Tr/Dldr.Bagle.FR

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MovieM = %SYSDIR%\lmovie.exe



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • 9XHtProtect
   • Antivirus
   • EasyAV
   • FirewallSvr
   • HtProtect
   • ICQ Net
   • ICQNet
   • Jammer2nd
   • KasperskyAVEng
   • MsInfo
   • My AV
   • NetDy
   • Norton Antivirus AV
   • PandaAVEngine
   • service
   • SkynetsRevenge
   • Special Firewall Service
   • SysMonXP
   • Tiny AV
   • Zone Labs Client Ex

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • 9XHtProtect
   • Antivirus
   • EasyAV
   • FirewallSvr
   • HtProtect
   • ICQ Net
   • ICQNet
   • Jammer2nd
   • KasperskyAVEng
   • MsInfo
   • My AV
   • NetDy
   • Norton Antivirus AV
   • PandaAVEngine
   • service
   • SkynetsRevenge
   • Special Firewall Service
   • SysMonXP
   • Tiny AV
   • Zone Labs Client Ex

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • Come Be With Me, my Love!
   • Love you with all my heart!
   • My dream is coming true!
   • See you tonight!
   • Will You Be My Valentine?



Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • Click to attachment to load a picture
Love at the lips was touch
As sweet as I could bear;
And once that seemed too much;
I lived on air

That crossed me from sweet things,
The flow of - was it musk
From hidden grapevine springs
Down hill at dusk?

I had the swirl and ache
From sprays of honeysuckle
That when they re gathered shake
Dew on the knuckle.

I craved strong sweets, but those
Seemed strong when I was young;
The petal of the rose
It was that stung.

Now no joy but lacks salt
That is not dashed with pain
And weariness and fault;
I crave the stain

Of tears, the aftermark
Of almost too much love,
The sweet of bitter bark
And burning clove.

When stiff and sore and scarred
I take away my hand
From leaning on it hard
In grass and sand

The hurt is not enough:
I long for weight and strength
To feel the earth as rough
To all my length.


     

     

   • Click to attachment to load a movie
I woke up in a white room
with white lace curtains.
Snow covered landscape;
I’m in Memphis for certain

Yesterday, it took over three hours
just to travel the last twenty miles.
But nothing is like my wife’s family
always being greeted with smiles

I was hoping for a White Christmas.
You’d be surprise how simple I am.
Be careful what you wish for
God may be listening to your plan.

Most of the nation is covered
with that dangerous and beautiful thing
I am grateful for arriving safely
for my wife’s happiness is everything.

She wanted to see her family,
her father, uncles and aunts.
I ve kept her in Southwest Texas too long;
this trip I most willingly grant.

So, here we are now
in a snowy southern wonderland.
Waiting for Christmas dinner to come;
a present only my wife can understand


     
     


   • Execute attachment to load a movie
A stranger came to the door at eve,
And he spoke the bridegroom fair.
He bore a green-white stick in his hand,
And, for all burden, care.
He asked with the eyes more than the lips
For a shelter for the night,
And he turned and looked at the road afar
Without a window light.

The bridegroom came forth into the porch
With, "Let us look at the sky,
And question what of the night to be,
Stranger, you and I.
"The woodbine leaves littered the yard,
The woodbine berries were blue,
Autumn, yes, winter was in the wind;
"Stranger, I wish I knew."

Within, the bride in the dusk alone
Bent over the open fire,
Her face rose-red with the glowing coal
And the thought of the heart's desire.
The bridegroom looked at the weary road,
Yet saw but her within,
And wished her heart in a case of gold
And pinned with a silver pin.

The bridegroom thought it little to give
A dole of bread, a purse,
A heartfelt prayer for the poor of God,
Or for the rich a curse;
But whether or not a man was asked
To mar the love of two
by harboring woe in the bridal house,
The bridegroom wished he knew.


     
     



Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • love_me.exe
   • love_me_now.exe
   • mplay.exe



L'email pourrait ressembler à un des suivants:




 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • @hotmail; @msn; @microsoft; rating@; f-secur; news; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      kasp; admin; icrosoft; support; ntivi; unix; bsd; linux; listserv;
      certific; sopho; @foo; @iana; free-av; @messagelab; winzip; google;
      winrar; samples; abuse; panda; cafee; spam; pgp; @avp.; noreply;
      local; root@; postmaster@

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il cherche les répertoires qui contient la sous chaîne de caractères suivante:
   • shar

   En cas de succès, les fichiers suivants sont créés:
   • anna benson sex video.exe; kate beckinsale nude pictures.exe; jenna
      elfman sex anal deepthroat; miss america Porno, sex, oral, anal cool,
      awesome!!.exe; Porno Screensaver.scr; Serials.txt.exe; barrett jackson
      nude photos, movies, porn video.exe; Britney Spears sex photos.exe;
      paris hilton Porno pics arhive, xxx.exe; Windows Sourcecode
      update.doc.exe; Ahead Nero 10.exe; Windown Vista Beta Leak.exe; IE
      beta 7.exe; Serials 2005 database.exe; XXX hardcore images.exe; Adobe
      Photoshop 9 full.exe

   Ces fichiers sont copies du Malware.

 Porte dérobée Le port suivant est ouvert:

– lmovie.exe sur le port TCP 6777 afin de fournir de capacités de porte dérobée


Serveur de contact:
Le suivant:
   • http://ijj.**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware

 Informations divers Mutex:
Il crée les Mutex suivants:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ivanes le mercredi 15 février 2006
Description mise à jour par Andrei Ivanes le mardi 28 février 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.