Réparer votre PC ?
Engagez l’expert
Nom:Worm/Bagle.GC
La date de la découverte:30/11/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:188.422 Octets
Somme de contrôle MD5:23e143e87ff2fb1be5a3e2b2d93ce283
Version VDF:6.36.01.108
Version IVDF:6.36.01.113
L'heuristique:HEUR/Crypted

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Bagle.gr
   •  F-Secure: W32/Bagle.GO
   •  Sophos: W32/Bagle-QS
   •  Grisoft: I-Worm/Bagle.OI
   •  Eset: Win32/Bagle.HB

Avant, il était détecté comme:
   •  TR/Bagle.GC


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %APPDATA%\hidn\hldrrr.exe
   • %APPDATA%\hidn\hidn2.exe



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • C:\temp.zip



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %le dossier d'exécution du malware%\aspr_keys.ini

– C:\error.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • UTF-8 decoding error.

– %HOME%\Application Data\hidn\m_hook.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rkit.Bagle.GL




Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://ujscie.one.pl/**********
   • http://1point2.iae.nl/**********
   • http://appaloosa.no/**********
   • http://apromed.com/**********
   • http://arborfolia.com/**********
   • http://pawlacz.com/**********
   • http://areal-realt.ru/**********
   • http://bitel.ru/**********
   • http://yetii.no-ip.com/**********
   • http://art4u1.superhost.pl/**********
   • http://www.artbed.pl/**********
   • http://art-bizar.foxnet.pl/**********
   • http://www.jonogueira.com/**********
   • http://asdesign.cz/**********
   • http://ftp-dom.earthlink.net/**********
   • http://www.aureaorodeley.com/**********
   • http://www.autoekb.ru/**********
   • http://www.autovorota.ru/**********
   • http://avenue.ee/**********
   • http://ouarzazateservices.com/**********
   • http://stats-adf.altadis.com/**********
   • http://bartex-cit.com.pl/**********
   • http://bazarbekr.sk/**********
   • http://gnu.univ.gda.pl/**********
   • http://bid-usa.com/**********
   • http://biliskov.com/**********
   • http://biomedpel.cz/**********
   • http://blackbull.cz/**********
   • http://bohuminsko.cz/**********
   • http://bonsai-world.com.au/**********
   • http://bpsbillboards.com/**********
   • http://cadinformatics.com/**********
   • http://canecaecia.com/**********
   • http://www.castnetnultimedia.com/**********
   • http://compucel.com/**********
   • http://continentalcarbonindia.com/**********
   • http://ceramax.co.kr/**********
   • http://prime.gushi.org/**********
   • http://www.chapisteriadaniel.com/**********
   • http://charlesspaans.com/**********
   • http://chatsk.wz.cz/**********
   • http://www.chittychat.com/**********
   • http://checkalertusa.com/**********
   • http://cibernegocios.com.ar/**********
   • http://5050clothing.com/**********
   • http://cof666.shockonline.net/**********
   • http://comaxtechnologies.net/**********
   • http://concellodesandias.com/**********
   • http://www.cort.ru/**********
   • http://donchef.com/**********
   • http://www.crfj.com/**********
   • http://kremz.ru/**********
   • http://dev.jintek.com/**********
   • http://foxvcoin.com/**********
   • http://uwua132.org/**********
   • http://v-v-kopretiny.ic.cz/**********
   • http://erich-kaestner-schule-donaueschingen.de/**********
   • http://vanvakfi.com/**********
   • http://axelero.hu/**********
   • http://kisalfold.com/**********
   • http://vega-sps.com/**********
   • http://vidus.ru/**********
   • http://viralstrategies.com/**********
   • http://svatba.viskot.cz/**********
   • http://Vivamodelhobby.com/**********
   • http://vkinfotech.com/**********
   • http://vytukas.com/**********
   • http://waisenhaus-kenya.ch/**********
   • http://watsrisuphan.org/**********
   • http://www.ag.ohio-state.edu/**********
   • http://wbecanada.com/**********
   • http://calamarco.com/**********
   • http://vproinc.com/**********
   • http://grupdogus.de/**********
   • http://knickimbit.de/**********
   • http://dogoodesign.ch/**********
   • http://systemforex.de/**********
   • http://zebrachina.net/**********
   • http://www.walsch.de/**********
   • http://hotchillishop.de/**********
   • http://innovation.ojom.net/**********
   • http://massgroup.de/**********
   • http://web-comp.hu/**********
   • http://webfull.com/**********
   • http://welvo.com/**********
   • http://www.ag.ohio-state.edu/**********
   • http://poliklinika-vajnorska.sk/**********
   • http://wvpilots.org/**********
   • http://www.kersten.de/**********
   • http://www.kljbwadersloh.de/**********
   • http://www.voov.de/**********
   • http://www.wchat.cz/**********
   • http://www.wg-aufbau-bautzen.de/**********
   • http://www.wzhuate.com/**********
   • http://zsnabreznaknm.sk/**********
   • http://xotravel.ru/**********
   • http://ilikesimple.com/**********
   • http://yeniguntugla.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\re_file.exe Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • drv_st_key = %APPDATA%\hidn\hidn2.exe



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKEY_LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%APPDATA%\hidn\m_hook.sys
   • DisplayName = Empty



La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
   • [HKLM\SYSTEM\CurrentControlSet\Control\Safeboot]



La clé de registre suivante est ajoutée:

– [HKCU\Software\FirstRuxzx]
   • FirstRu21n = 1

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– L'adresse email suivante:
   • user%plusieurs chiffres aléatoires% @gmail.com


Sujet:
Un des suivants:
   • price_new%la date courante%
   • price_ %la date courante%
   • price%la date courante%
   • price %la date courante%



Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • It Is Protected
     Passwrd: %image contenant le mot de passe%

   • thank you !!!
     Passwrd: %image contenant le mot de passe%

   • New year's discounts
     Passwrd: %image contenant le mot de passe%


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • price%la date courante%.zip
   • new_price%la date courante%.zip
   • price_list%la date courante%.zip
   • latest_price%la date courante%.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
      gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@


Résoudre les noms des serveurs:
Si la requête employant le DNS standard échoue, il continue avec le suivant:
Il a la capacité d'entrer en contact avec les serveur DNS:
   • 217.5.97.137

 Arrêt de processus:  La liste des services qui sont désactivés:
   • Aavmker4; ABVPN2K; ADFirewall; AFWMCL; Ahnlab task Scheduler; alerter;
      AlertManger; AntiVir Service; AntiyFirewall; aswMon2; aswRdr; aswTdi;
      aswUpdSv; Ati HotKey Poller; avast! Antivirus; avast! Mail Scanner;
      avast! Web Scanner; AVEService; AVExch32Service; AvFlt; Avg7Alrt;
      Avg7Core; Avg7RsW; Avg7RsXP; Avg7UpdSvc; AvgCore; AvgFsh; AVGFwSrv;
      AvgFwSvr; AvgServ; AvgTdi; AVIRAMailService; AVIRAService; avpcc;
      AVUPDService; AVWUpSrv; AvxIni; awhost32; backweb client - 4476822;
      BackWeb Client - 7681197; backweb client-4476822; Bdfndisf; bdftdif;
      bdss; BlackICE; BsFileSpy; BsFirewall; BsMailProxy; CAISafe; ccEvtMgr;
      ccPwdSvc; ccSetMgr; ccSetMgr.exe; DefWatch; drwebnet; dvpapi; dvpinit;
      ewido security suite control; ewido security suite driver; ewido
      security suite guard; F-Prot Antivirus Update Monitor; F-Secure
      Gatekeeper Handler Starter; firewall; fsbwsys; FSDFWD; FSFW; FSMA;
      FwcAgent; fwdrv; Guard NT; HSnSFW; HSnSPro; InoRPC; InoRT; InoTask;
      Ip6Fw; Ip6FwHlp; KAVMonitorService; KAVSvc; KLBLMain; KPfwSvc;
      KWatch3; KWatchSvc; McAfee Firewall; McAfeeFramework; McShield;
      McTaskManager; mcupdmgr.exe; MCVSRte; Microsoft NetWork FireWall
      Services; MonSvcNT; MpfService; navapsvc; Ndisuio; NDIS_RD; Network
      Associates Log Service; nipsvc; NISSERV; NISUM; NOD32ControlCenter;
      NOD32krn; NOD32Service; Norman NJeeves; Norman Type-R; Norman ZANDA;
      Norton AntiVirus Server; NPDriver; NPFMntor; NProtectService; NSCTOP;
      nvcoas; NVCScheduler; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg;
      nwclnth; NWService; OfcPfwSvc; Outbreak Manager; Outpost Firewall;
      OutpostFirewall; PASSRV; PAVAGENTE; PavAtScheduler; PAVDRV; PAVFIRES;
      PAVFNSVR; Pavkre; PavProc; PavProt; PavPrSrv; PavReport; PAVSRV;
      PCCPFW; PCC_PFW; PersFW; Personal Firewall; PREVSRV; PSIMSVC;
      qhwscsvc; wscsvc; Quick Heal Online Protection; ravmon8; RfwService;
      SAVFMSE; SAVScan; SBService; schscnt; SharedAccess; SmcService;
      SNDSrvc; SPBBCSvc; SpiderNT; SweepNet; Symantec AntiVirus Client;
      Symantec Core LC; The_Hacker_Antivirus; Tmntsrv; TmPfw; tmproxy;
      tmtdi; tm_cfw; T_H_S_M; V3MonNT; V3MonSvc; Vba32ECM; Vba32ifs;
      Vba32Ldr; Vba32PP3; VBCompManService; VexiraAntivirus; VFILT; VisNetic
      AntiVirus Plug-in; vrfwsvc; vsmon; VSSERV; WinAntivirus; WinRoute;
      wuauserv; xcomm

 Porte dérobée Serveur de contact:
Un des suivants::
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers
– Son propre processus
– Ses propres clés de registre


La méthode utilisée:
    • Caché de Windows API

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASProtect

Description insérée par Alexander Vukcevic le vendredi 1 décembre 2006
Description mise à jour par Andrei Gherman le lundi 4 décembre 2006

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.