TR/Bagle.GB.35 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Bagle.GB.35
La date de la découverte:	13/02/2007
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	287.232 Octets
Somme de contrôle MD5:	edec5388157140166151af3b4c5ad4a2
Version VDF:	6.37.01.39
Version IVDF:	6.37.01.39

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Email-Worm.Win32.Bagle.gb
   • Grisoft: I-Worm/Bagle.PY

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

Fichiers Il crée le répertoire suivant:
• %PROGRAM FILES%\DeskAdTop

Les fichiers suivants sont créés:

– %PROGRAM FILES%\DeskAdTop\sInfo.ini
– %SYSDIR%\NTUP1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Bagle.GB.36

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "IEBarUp"="RunDll32 "%SYSDIR%\NTUP1.dll",Run

Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-007 (ASN.1 Vulnerability)

Porte dérobée Serveur de contact:
Le suivant:
   • http://218.12.196.140/route/**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps de fonctionnement du Malware

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• ASProtect

Voir la description brève ici.

Description inséré par Monica Ghitun sur Tue, 13 Feb 2007 16:22 (GMT+1)
Description mise à jour par Andrei Ivanes sur Mon, 19 Feb 2007 09:13 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back