TR/Bagle.CU - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Bagle.CU
La date de la découverte:	20/09/2005
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Moyen
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	35.146 Octets
Somme de contrôle MD5:	a543640698380e7a3fe5607cfc42304c
Version VDF:	6.32.0.21

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Trojan.Tooso.P
   • Mcafee: W32/Bagle.cl
   • Kaspersky: Email-Worm.Win32.Bagle.de
   • TrendMicro: TROJ_BAGLE.DA
   • Bitdefender: Win32.Bagle.CZ@mm

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge un fichier
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winshost.exe

Il renom les fichiers suivants:

    • AUPDATE.EXE en AUPD1ATE.EXE
    • av.dll en a5v.dll
    • Avconsol.exe en Avc1onsol.exe
    • avgcc.exe en avgc3c.exe
    • avgemc.exe en avg23emc.exe
    • Avsynmgr.exe en Av1synmgr.exe
    • cafix.exe en c6a5fix.exe
    • ccApp.exe en ccA1pp.exe
    • CCEVTMGR.EXE en C1EVTMGR.EXE
    • ccl30.dll en cc1l30.dll
    • CCSETMGR.EXE en C1CSETMGR.EXE
    • ccvrtrst.dll en ccv1rtrst.dll
    • CMGrdian.exe en CM1Grdian.exe
    • isafe.exe en is5a6fe.exe
    • KAV.exe en K2A2V.exe
    • kavmm.exe en kav12mm.exe
    • LUALL.EXE en LUAL1L.EXE
    • LUINSDLL.DLL en LUI1NSDLL.DLL
    • Luupdate.exe en Luup1date.exe
    • Mcshield.exe en Mcsh1ield.exe
    • NAVAPSVC.EXE en NAV1APSVC.EXE
    • NPFMNTOR.EXE en NPFM1NTOR.EXE
    • outpost.exe en outp1ost.exe
    • RuLaunch.exe en RuLa1unch.exe
    • SNDSrvc.exe en SND1Srvc.exe
    • SPBBCSvc.exe en SP1BBCSvc.exe
    • symlcsvc.exe en s1ymlcsvc.exe
    • Up2Date.exe en Up222Date.exe
    • vetredir.dll en ve6tre5dir.dll
    • Vshwin32.exe en Vshw1in32.exe
    • VsStat.exe en Vs1Stat.exe
    • vsvault.dll en vs6va5ult.dll
    • zlclient.exe en zlcli6ent.exe
    • zonealarm.exe en zo3nealarm.exe
    • zatutor.exe en zatu6tor.exe
    • zlavscan.dll en zl5avscan.dll

Le fichier suivant est créé:

– %SYSDIR%\wiwshost.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR\Bagle.CU.1

Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • www.**********build.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********hio.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********bras.com/osa6.gif
   • www.**********online.de/osa6.gif
   • www.**********.cn/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********ecurity.de/osa6.gif
   • www.**********ecasa.it/osa6.gif
   • www.**********media.nl/osa6.gif
   • www.**********project.com/osa6.gif
   • www.**********wanjia.com/osa6.gif
   • www.**********anqing.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********gong.org/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com.pl/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********hardtgmbh.de/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********chule-herb.de/osa6.gif
   • www.**********lesser.de/osa6.gif
   • www.**********garoy.com/osa6.gif
   • www.**********occidente.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.fi/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********ters.org/osa6.gif
   • www.**********zeuge.de/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********service.be/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.cl/osa6.gif
   • www.**********tgweb.de/osa6.gif
   • www.**********.sk/osa6.gif
   • www.**********american.com/osa6.gif
   • www.**********shinn.com/osa6.gif
   • www.**********gjuok.com/osa6.gif
   • www.**********bo.com/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********rketvw.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********mbh.com/osa6.gif
   • www.**********.com.pe/osa6.gif
   • www.**********.ee/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********gaderc.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********buecher.de/osa6.gif
   • www.**********nyuan.com/osa6.gif
   • www.**********waaij.nl/osa6.gif
   • www.**********anet.sk/osa6.gif
   • www.**********photo.com/osa6.gif
   • www.**********etaet.de/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********jor.ru/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********.biz/osa6.gif
   • www.**********.home.pl/osa6.gif
   • www.**********steel.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.hk/osa6.gif
   • www.**********pharm.com/osa6.gif
   • www.**********.dehtdocs/osa6.gif
   • www.**********.stir.ac.uk/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********betcs.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********heng.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********basketball.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********venture.com/osa6.gif
   • www.**********.tv/osa6.gif
   • www.**********asoutfitter.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.friko.pl/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.com.pt/osa6.gif
   • www.**********elourway.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********pecchi.it/osa6.gif
   • www.**********.sk/osa6.gif
   • www.**********erchair.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********senelektro.be/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.vn/osa6.gif
   • www.**********.ac.in/osa6.gif
   • www.**********fateh.com/osa6.gif
   • www.**********bank.pl/osa6.gif
   • www.**********.asn.au/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********productions.com/osa6.gif
   • www.**********country.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********industries.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********spruyt.be/osa6.gif
   • www.**********download.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********software.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.edu.sk/osa6.gif
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\_re_file.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

Les valeurs des clés de registre suivantes sont supprimées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • McAfee Guardian
   • NAV CfgWiz
   • SSC_UserPrompt
   • Symantec NetDriver Monitor
   • Zone Labs Client

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • McAfee.InstantUpdate.Monitor

Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKLM\SOFTWARE\Agnitum]
   • [HKLM\SOFTWARE\KasperskyLab]
   • [HKLM\SOFTWARE\McAfee]
   • [HKLM\SOFTWARE\Panda Software]
   • [HKLM\SOFTWARE\Symantec]
   • [HKLM\SOFTWARE\Zone Labs]

La clé de registre suivante est ajoutée:

– [HKCU\Software\FirstRun]
   • "FirstRunRR"=dword:00000001

Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:

Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • 09_price.zip
   • new__price.zip
   • new_price.zip
   • newprice.zip
   • price2.zip
   • price_09.zip
   • price_new.zip

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

Le fichier hôte modifié ressemblera à ceci:

Arrêt de processus: La liste des processus qui sont terminés:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AVPUPD.EXE; AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; ESCANHNT.EXE; FIREWALL.EXE; ICSSUPPNT.EXE;
      ICSUPP95.EXE; LUALL.EXE; MCUPDATE.EXE; NUPGRADE.EXE; OUTPOST.EXE;
      UPDATE.EXE; UPGRADER.EXE

La liste des services qui sont désactivés:
   • Ahnlab task Scheduler; alerter; AlertManger; AVExch32Service;
      avg7alrt; avg7updsvc; AvgCore; AvgFsh; AvgServ; AVPCC; AVUPDService;
      AvxIni; awhost32; backweb client - 4476822; BackWeb Client - 7681197;
      BlackICE; CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe;
      DefWatch; dvpapi; dvpinit; fsbwsys; FSDFWD; F-Secure Gatekeeper
      Handler Starter; FSMA; KAVMonitorService; kavsvc; KLBLMain; McAfee
      Firewall; McAfeeFramework; McShield; McTaskManager; mcupdmgr.exe;
      MCVSRte; MonSvcNT; navapsvc; navapsvc; Network Associates Log Service;
      NISSERV; NISUM; NOD32ControlCenter; NOD32Service; Norman NJeeves;
      Norman ZANDA; Norton Antivirus Server; NPFMntor; NProtectService;
      NSCTOP; nvcoas; NVCScheduler; nwclntc; nwclntd; nwclnte; nwclntf;
      nwclntg; nwclnth; NWService; Outbreak Manager; Outpost Firewall;
      OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt; PavPrSrv; PAVSRV;
      PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE; SAVScan;
      SBService; schscnt; sharedaccess; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic
      AntiVirus Plug-in; vsmon; wscsvc; wuauserv; XCOMM

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\wiwshost.exe

Nom du processus:
• explorer.exe

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Tue, 20 Sep 2005 13:52 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Thu, 22 Sep 2005 13:41 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour