English
Deutsch
Francais
Español
Italian
Accueil
Menaces
TR/Dldr.Bagle.BV.852
Recherche
Accueil
Support
Solutions
Produits
Téléchargements
Menaces
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Société
Presse
Partenaires
Newsletter
TR/Dldr.Bagle.BV.852 - Trojan
A voir aussi
Brève description
Description complète
Statistiques
How would you rate this information?
Worthless
Excellent
Nom:
TR/Dldr.Bagle.BV.852
La date de la découverte:
28/05/2007
Type:
Cheval de Troie
Sous type:
Downloader
En circulation:
Oui
Infections signalées
Faible
Potentiel de distribution:
Faible
Potentiel de destruction:
Faible a moyen
Fichier statique:
Oui
Taille du fichier:
307.611 Octets
Somme de contrôle MD5:
057f0B90f1262bb5fc48fb6b9fcbd291
Version VDF:
6.38.01.186
Version IVDF:
6.38.01.196
Général
Méthode de propagation:
• Il ne possède pas de propre routine de propagation
Les alias:
• F-Secure: Trojan-Downloader.Win32.Bagle.bv
• Sophos: Troj/BagleDL-CQ
Plateformes / Systèmes d'exploitation:
• Windows 99
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effets secondaires:
• Il télécharge des fichiers
• Il télécharge des fichiers malveillants
• Il modifie des registres
Immédiatement après l'exécution l'information suivante est affichée:
Fichiers
Il s'autocopie dans l'emplacement suivant:
•
%SYSDIR%
\hldrrr.exe
Il essaie de télécharger un ficher:
– Les emplacements sont les suivants:
• http://citometria.org/**********
• http://clasicosdevigo.com/**********
• http://clikart.com/**********
• http://coctelmedia.com/**********
• http://cogumelosonline.com.br/**********
• http://coindufeu.eolas-services.com/**********
• http://comunidadviajera.com/**********
• http://comune.santaluciadiserino.av.it/**********
• http://contactbridge.com/**********
• http://pc-fan.pl/**********
• http://coolnet.nazwa.pl/**********
• http://cortinasdoncarlos.com.ar/**********
• http://www.courdesloges.com/**********
• http://aytocristobal.com/**********
• http://cuidatumiembro.com/**********
• http://cyclegolf.com/**********
• http://cycletech.de/**********
• http://maneironsclimb.com/**********
• http://www.etraining.ee/**********
• http://dadivaria.com/**********
• http://dancefrequency.com.br/**********
• http://darioo.altervista.org/**********
• http://daruliftaa.com/**********
• http://datalifecenter.com/**********
• http://datissa.com/**********
• http://www.dbmetric.com/**********
• http://WWW.DDP.COM.PE/**********
• http://www.debmark.com/**********
• http://decastrogil.es/**********
• http://delattres.com/**********
• http://demianaiello.com.ar/**********
• http://demo.portaltapejara.com/**********
• http://derechoydemocracia.es/**********
• http://www.devergo.com/**********
• http://dezaete.nl/**********
• http://dieppeseinemaritime.com/**********
• http://digitalpicture.com/**********
• http://digicromo.com/**********
• http://diocesequebec.qc.ca/**********
• http://divinaclub.com/**********
• http://divinojocelyn.altervista.org/**********
• http://dj-horoz.com/**********
• http://djsoprano.cp.win.pl/**********
• http://djthefox.com/**********
• http://deniselinsconvites.com.br/**********
• http://lotva.org/**********
• http://oliwia.iskierka.org/**********
• http://dospablos.es/**********
• http://dponcemi.altervista.org/**********
• http://drutplast.com.pl/**********
• http://dudys.bx.pl/**********
• http://dukedem.com/**********
• http://dddesignstudio.com/**********
• http://easylimo.es/**********
• http://doctorlife.org/**********
• http://eccesso.es/**********
• http://ecobos.be/**********
• http://www.edenvillage.it/**********
• http://programaseducativos-salamanca.com/**********
• http://www.ekogips.pl/**********
• http://www.ekotap.pl/**********
• http://elelfogris.com/**********
• http://elemco.pl/**********
• http://elitan.pl/**********
• http://passecdl.co.uk/**********
• http://www.elotron.com/**********
• http://elpantalan.es/**********
• http://industriascarnicaselrobledo.com/**********
• http://www.enco-group.cz/**********
• http://energiesport.com/**********
• http://epamateohernandez.com/**********
• http://eravamo100.altervista.org/**********
• http://esf-ct.com/**********
• http://espaciojoven.org/**********
• http://www.espaceprojets-villejuif.fr/**********
• http://www.eszterlancaruhaz.hu/**********
• http://www.etalon-stroy.ru/**********
• http://www.experiment.lv/**********
• http://streetlions.com/**********
• http://www.false-news.com/**********
• http://falshpolcom.18.com1.ru/**********
• http://www.concretosfamasa.com/**********
• http://fermesdemarie.eolas-services.com/**********
• http://fernandoaureliano.com/**********
• http://fetems.org.br/**********
• http://wolfsdonksport.be/**********
• http://filibertovillalobosguijuelo.com/**********
• http://finz-center.com/**********
• http://www.fitdina.com/**********
• http://fiveuk.fi.funpic.org/**********
• http://flabs.net/**********
• http://fomentocredito.es/**********
• http://fortis-sf.home.pl/**********
• http://fotoastur.com/**********
• http://fouadovedia.com/**********
• http://foxx.fan-sites.org/**********
• http://frauen-ratgeber.com/**********
• http://fritschiclean.ch/**********
• http://www.kfzeintragsservice.de/**********
• http://www.autometasuche.de./**********
• http://www.s-w-services.co.uk/**********
• http://www.bodis.at/**********
• http://www.musikverein-grosswallstadt.de/**********
• http://tripplexwelt.de/**********
• http://www.weingut-giegerich.de/**********
• http://www.tenbrink-online.de/**********
• http://www.alphazip.com/**********
• http://www.kayaks.cz/**********
• http://galami.sk/**********
• http://galateainteriorismo.com/**********
• http://galixesol.com/**********
• http://www.gan-psifas.co.il/**********
• http://robertsandboles.co.nz/**********
• http://gazetaszkolna.edu.pl/**********
• http://gdri.si/**********
• http://generation80.be/**********
• http://www.georg-kuenzle.ch/**********
• http://giannifalco.com/**********
• http://gim24.icx.pl/**********
• http://giresuneczaciodasi.org.tr/**********
• http://girmantasphotography.com/**********
• http://giustiziasicura.org/**********
• http://glodowka.com.pl/**********
• http://202.162.97.63/**********
• http://brzozowa.v24.pl/**********
• http://goldpartner.pl/**********
• http://gomashie.com/**********
• http://go-modaru.21.com1.ru/**********
• http://gravesite.gr.funpic.org/**********
• http://www.gregorvandermark.com/**********
• http://grupoexpansiona.com/**********
• http://grupogolpe.com/**********
• http://ospkarlino.bulls.net.pl/**********
• http://3g-tech-industries.com/**********
• http://guia-aumento-penis.com/**********
• http://guia-femenina.com/**********
• http://guia-feminina.com/**********
• http://guia-ipc.com/**********
• http://guida-allungamento-pene.com/**********
• http://guide-agrandissement-penis.com/**********
• http://guide-feminin.com/**********
• http://jewelrytools.boo.pl/**********
• http://gustavomendonca.com/**********
• http://gusts.net/**********
• http://www.hanyungprinting.co.uk/**********
• http://hawaiicandy.com/**********
• http://hellsquad.net/**********
• http://www.hellsquad.net/**********
• http://hostalhispanico2.com/**********
• http://hostalhispanico.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement:
%WINDIR%
\exefld\
%nombre%
.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.XPACK.Gen
Registre
Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
•
%SYSDIR%
\hldrrr.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
•
%SYSDIR%
\hldrrr.exe
La clé de registre suivante est ajoutée:
– [HKCU\Software\FirstRRRun]
• FirstRR2742Run = 1
L'injection du code viral dans d'autres processus
– Il s'injecte dans un processus.
Nom du processus:
• iexplore.exe
Détails de fichier
Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.
Voir la description brève
ici
.
Description inséré par Andrei Gherman sur Tue, 29 May 2007 07:47 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 29 May 2007 07:49 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Retour
Imprimer cette page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Mytob.W
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
© 2008 Avira GmbH
Copyright
Domaine privé
Plan du site
Feedback
Marque d’impression
FAQ
Contact
Menaces TR/Dldr.Bagle.BV.852
Imprimer cette page
