Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:DR/Bagle.O.2
Scoperto:13/12/2012
Tipo:Dropper
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:11.689 Byte
Somma di controllo MD5:1af3a1c3261aab9b61b17e1d94c504db
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Win32.Bagle.CJ@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\winshost.exe



Rinomina i seguenti file:

      CCSETMGR.EXE in C1CSETMGR.EXE
      CCEVTMGR.EXE in CC1EVTMGR.EXE
      NAVAPSVC.EXE in NAV1APSVC.EXE
      NPFMNTOR.EXE in NPFM1NTOR.EXE
      symlcsvc.exe in s1ymlcsvc.exe
      SPBBCSvc.exe in SP1BBCSvc.exe
      SNDSrvc.exe in SND1Srvc.exe
      ccApp.exe in ccA1pp.exe
      ccl30.dll in cc1l30.dll
      ccvrtrst.dll in ccv1rtrst.dll
      LUALL.EXE in LUAL1L.EXE
      AUPDATE.EXE in AUPD1ATE.EXE
      Luupdate.exe in Luup1date.exe
      LUINSDLL.DLL in LUI1NSDLL.DLL
      RuLaunch.exe in RuLa1unch.exe
      CMGrdian.exe in CM1Grdian.exe
      Mcshield.exe in Mcsh1ield.exe
      outpost.exe in outp1ost.exe
      Avconsol.exe in Avc1onsol.exe
      Vshwin32.exe in Vshw1in32.exe
      VsStat.exe in Vs1Stat.exe
      Avsynmgr.exe in Av1synmgr.exe
      kavmm.exe in kav12mm.exe
      Up2Date.exe in Up222Date.exe
      KAV.exe in K2A2V.exe
      avgcc.exe in avgc3c.exe
      avgemc.exe in avg23emc.exe
      zonealarm.exe in zo3nealarm.exe
      zatutor.exe in zatu6tor.exe
      zlavscan.dll in zl5avscan.dll
      zlclient.exe in zlcli6ent.exe
      isafe.exe in is5a6fe.exe
      cafix.exe in c6a5fix.exe
      vsvault.dll in vs6va5ult.dll
      av.dll in a5v.dll
      vetredir.dll in ve6tre5dir.dll



Viene creato il seguente file:

%SYSDIR%\wiwshost.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware.



Prova a scaricare dei file:

Le posizioni sono le seguenti:
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.cn/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.nl/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com.pl/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.com.tw/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com.tw/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.cl/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.ch/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com.pe/osa5.gif
   • www.**********.ee/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.ch/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.nl/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.home.pl/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com.hk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.dehtdocs/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com.pt/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.sk/osa5.gif
Viene salvato in locale sotto: %WINDIR%\_RE_FILE.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Bagle.BR.A.Dll

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "winshost.exe"="%SYSDIR%\winshost.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "winshost.exe"="%SYSDIR%\winshost.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • McAfee Guardian
   • NAV CfgWiz
   • SSC_UserPrompt
   • Symantec NetDriver Monitor
   • Zone Labs Client

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • McAfee.InstantUpdate.Monitor

–  HKLM\SOFTWARE
   • Symantec
   • McAfee
   • KasperskyLab
   • Agnitum
   • Panda Software
   • Zone Labs



Viene aggiunta la seguente chiave di registro:

HKCU\Software\FirstRun
   • "FirstRunRR"=dword:00000001

 Host L'host del file viene modificato come spiegato:

In questo caso i dati immessi gi esistenti vengono cancellati.

 Processi terminati Lista dei processi che vengono terminati:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AVPUPD.EXE;
      AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE; ESCANHNT.EXE; ICSSUPPNT.EXE;
      LUALL.EXE; MCUPDATE.EXE; OUTPOST.EXE; ATUPDATER.EXE; AUTOUPDATE.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; FIREWALL.EXE; ICSUPP95.EXE; NUPGRADE.EXE;
      UPDATE.EXE; UPGRADER.EXE


I seguenti servizi vengono disattivati:
   •  Ahnlab task Scheduler; alerter; AntiVirus Plug-in; McShield;
      AlertManger; AVExch32Service; avg7alrt; avg7updsvc; AvgCore; AvgFsh;
      AvgServ; avpcc; AVUPDService; AvxIni; awhost32; backweb client -
      4476822; BackWeb Client - 7681197; backweb client-4476822; BlackICE;
      CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; DefWatch; dvpapi;
      dvpinit; Firewall; fsbwsys; fsdfwd; F-Secure Gatekeeper Handler
      Starter; FSMA; KAVMonitorService; kavsvc; KLBLMain; McAfee;
      McAfeeFramework; McTaskManager; mcupdmgr.exe; MCVSRte; MonSvcNT;
      navapsvc; Network Associates Log Service; NISSERV; NISUM; NJeeves;
      NOD32ControlCenter; NOD32Service; Norman; Norton Antivirus Server;
      NPFMntor; NProtectService; NSCTOP; nvcoas; NVCScheduler; nwclntc;
      nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; NWService; Outbreak
      Manager; Outpost; OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt;
      PavPrSrv; PAVSRV; PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE;
      SAVScan; SBService; schscnt; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic; vsmon;
      wuauserv; XCOMM; ZANDA

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\wiwshost.exe

    Nome del processo:
   • %WINDIR%\Explorer.exe


Descrizione inserita da Irina Boldea su venerdì 9 settembre 2005
Descrizione aggiornata da Irina Boldea su giovedì 22 settembre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.