Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Bagle.CW
La date de la dcouverte:20/09/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:31.416 Octets
Somme de contrle MD5:67f2c0b3ca58bdcae30A4c557cde5a24
Version VDF:6.32.00.25

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Beagle.CG@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.cz
   •  TrendMicro: WORM_BAGLE.CZ
   •  VirusBuster: I-Worm.Bagle.DU
   •  Eset: Win32/Bagle.CO
   •  Bitdefender: Win32.Bagle.FH@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il tlcharge des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windll2.exe




Il essaie de tlcharger des fichiers:

Les emplacements sont les suivants:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\re_file.exe Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

Les emplacements sont les suivants:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://fyeye.com/lyra/**********
   • http://ligapichangueras.cl/images/**********
   • http://ekshrine.com/images/**********
   • http://directeenhuis.nl/images/**********
   • http://creacionesartisticasandaluzas.com/bovedas/**********
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\eml.exe Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • "erthegdr" = "%SYSDIR%\windll2.exe"



Les valeurs des cls de registre suivantes sont supprimes:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
   • erthegdr
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\ewrt]

 Email Il n'a pas sa propre routine de propagation mais il a t envoy comme spam par l'intermdiaire de l'email. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est une des lignes:
   • The password is
   • Password:
   • price
   • new price


Pice jointe:
Le contenu du fichier n'est pas sa propre copie, mais un autre malware.

Le nom de fichier de l'attachement est un des suivants:
   • price.zip
   • price2.zip
   • price_new.zip
   • price_09.zip
   • 09_price.zip
   • newprice.zip
   • new_price.zip
   • new__price.zip

 Envoie de messages viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

 Arrt de processus: La liste des processus qui sont termins:
   • 1t1epad.exe
   • t1es1t.exe


 Informations divers Mutex:
Il cre les Mutex suivants:
   • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
   • (null)

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le lundi 20 février 2006
Description mise à jour par Irina Boldea le jeudi 16 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.