Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Bagle.EB
La date de la dcouverte:07/11/2005
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:17.858 Octets
Somme de contrle MD5:5da48adaa372b9754140812317cd3870
Version VDF:6.32.00.152

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Symantec: W32.Beagle@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.en
   •  TrendMicro: WORM_BAGLE.BS
   •  Sophos: W32/Bagle-AR
   •  Grisoft: I-Worm/Bagle.IR
   •  VirusBuster: I-Worm.Bagle.EK
   •  Eset: Win32/Bagle.ES
   •  Bitdefender: Win32.Bagle.EK@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il tlcharge des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windll2.exe




Il essaie de tlcharger des fichiers:

Les emplacements sont les suivants:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://ekshrine.com/images/**********
   • http://www.familia-sanchez.net/images/**********
   • http://www.asymchem.com/images/**********
   • http://www.baku-xeber.com/images/**********
   • http://www.abmedical.pl/images/**********
   • http://www.cellphonemadeinchina.com/images/**********
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\eml.exe Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

Les emplacements sont les suivants:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\re_file.exe Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre Les valeurs des cls de registre suivantes sont supprimes:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"



La cl de registre suivante est ajoute:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est une des lignes:
   • Password:
   • The password is:
   • info
   • texte


Pice jointe:
Le contenu du fichier n'est pas sa propre copie, mais un autre malware.

Le nom de fichier de l'attachement est un des suivants:
   • text_sms.zip
   • sms_text.zip
   • The_new_prices.zip
   • Info_prices.zip
   • Business_dealing.zip
   • max.zip
   • Health_and_knowledge.zip
   • Business.zip

 Envoie de messages  La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
      Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
      Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
      Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
      Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
      Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
      Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
      James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
      Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
      Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
      Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
      Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
      Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
      Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
      Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
      Wynefreed; Wynnefreede



viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@


Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacit de contacter le serveur MX:
   • smtp.mail.ru

 Arrt de processus: Il essaye d'arrter le processus suivant et il supprime les fichiers correspondants:
   • 1t1epad.exe
   • t1es1t.exe


 Porte drobe Le port suivant est ouvert:

%SYSDIR%\windll2.exe sur le port TCP 80 afin de fonctionner comme serveur proxy.

 Informations divers Il cre les Mutex suivants:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le lundi 29 mai 2006
Description mise à jour par Irina Boldea le lundi 29 mai 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.