Nome del virus:DR/Bagle.O.2
Scoperto:13/12/2012
Tipo:Dropper
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:11.689 Byte
Somma di controllo MD5:1af3a1c3261aab9b61b17e1d94c504db
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Win32.Bagle.CJ@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\winshost.exe



Rinomina i seguenti file:

    •  CCSETMGR.EXE in C1CSETMGR.EXE
    •  CCEVTMGR.EXE in CC1EVTMGR.EXE
    •  NAVAPSVC.EXE in NAV1APSVC.EXE
    •  NPFMNTOR.EXE in NPFM1NTOR.EXE
    •  symlcsvc.exe in s1ymlcsvc.exe
    •  SPBBCSvc.exe in SP1BBCSvc.exe
    •  SNDSrvc.exe in SND1Srvc.exe
    •  ccApp.exe in ccA1pp.exe
    •  ccl30.dll in cc1l30.dll
    •  ccvrtrst.dll in ccv1rtrst.dll
    •  LUALL.EXE in LUAL1L.EXE
    •  AUPDATE.EXE in AUPD1ATE.EXE
    •  Luupdate.exe in Luup1date.exe
    •  LUINSDLL.DLL in LUI1NSDLL.DLL
    •  RuLaunch.exe in RuLa1unch.exe
    •  CMGrdian.exe in CM1Grdian.exe
    •  Mcshield.exe in Mcsh1ield.exe
    •  outpost.exe in outp1ost.exe
    •  Avconsol.exe in Avc1onsol.exe
    •  Vshwin32.exe in Vshw1in32.exe
    •  VsStat.exe in Vs1Stat.exe
    •  Avsynmgr.exe in Av1synmgr.exe
    •  kavmm.exe in kav12mm.exe
    •  Up2Date.exe in Up222Date.exe
    •  KAV.exe in K2A2V.exe
    •  avgcc.exe in avgc3c.exe
    •  avgemc.exe in avg23emc.exe
    •  zonealarm.exe in zo3nealarm.exe
    •  zatutor.exe in zatu6tor.exe
    •  zlavscan.dll in zl5avscan.dll
    •  zlclient.exe in zlcli6ent.exe
    •  isafe.exe in is5a6fe.exe
    •  cafix.exe in c6a5fix.exe
    •  vsvault.dll in vs6va5ult.dll
    •  av.dll in a5v.dll
    •  vetredir.dll in ve6tre5dir.dll



Viene creato il seguente file:

%SYSDIR%\wiwshost.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware.



Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.cn/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.nl/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com.pl/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.com.tw/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com.tw/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.cl/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.ch/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com.pe/osa5.gif
   • www.**********.ee/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.ch/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.nl/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.home.pl/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com.hk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.dehtdocs/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com.pt/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.sk/osa5.gif
Viene salvato in locale sotto: %WINDIR%\_RE_FILE.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Bagle.BR.A.Dll

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "winshost.exe"="%SYSDIR%\winshost.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "winshost.exe"="%SYSDIR%\winshost.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • McAfee Guardian
   • NAV CfgWiz
   • SSC_UserPrompt
   • Symantec NetDriver Monitor
   • Zone Labs Client

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • McAfee.InstantUpdate.Monitor

–  HKLM\SOFTWARE
   • Symantec
   • McAfee
   • KasperskyLab
   • Agnitum
   • Panda Software
   • Zone Labs



Viene aggiunta la seguente chiave di registro:

– HKCU\Software\FirstRun
   • "FirstRunRR"=dword:00000001

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

 Processi terminati Lista dei processi che vengono terminati:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AVPUPD.EXE;
      AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE; ESCANHNT.EXE; ICSSUPPNT.EXE;
      LUALL.EXE; MCUPDATE.EXE; OUTPOST.EXE; ATUPDATER.EXE; AUTOUPDATE.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; FIREWALL.EXE; ICSUPP95.EXE; NUPGRADE.EXE;
      UPDATE.EXE; UPGRADER.EXE


I seguenti servizi vengono disattivati:
   •  Ahnlab task Scheduler; alerter; AntiVirus Plug-in; McShield;
      AlertManger; AVExch32Service; avg7alrt; avg7updsvc; AvgCore; AvgFsh;
      AvgServ; avpcc; AVUPDService; AvxIni; awhost32; backweb client -
      4476822; BackWeb Client - 7681197; backweb client-4476822; BlackICE;
      CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; DefWatch; dvpapi;
      dvpinit; Firewall; fsbwsys; fsdfwd; F-Secure Gatekeeper Handler
      Starter; FSMA; KAVMonitorService; kavsvc; KLBLMain; McAfee;
      McAfeeFramework; McTaskManager; mcupdmgr.exe; MCVSRte; MonSvcNT;
      navapsvc; Network Associates Log Service; NISSERV; NISUM; NJeeves;
      NOD32ControlCenter; NOD32Service; Norman; Norton Antivirus Server;
      NPFMntor; NProtectService; NSCTOP; nvcoas; NVCScheduler; nwclntc;
      nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; NWService; Outbreak
      Manager; Outpost; OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt;
      PavPrSrv; PAVSRV; PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE;
      SAVScan; SBService; schscnt; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic; vsmon;
      wuauserv; XCOMM; ZANDA

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\wiwshost.exe

    Nome del processo:
   • %WINDIR%\Explorer.exe


Descrizione inserita da Irina Boldea su venerdì 9 settembre 2005
Descrizione aggiornata da Irina Boldea su giovedì 22 settembre 2005

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.