Nome del virus:TR/Dldr.Bagle.FJ
Scoperto:04/02/2006
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:5.632 Byte
Somma di controllo MD5:220D6a98d0f06846a01ce50Dddd9a27d
Versione VDF:6.33.00.195

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.Beagle.DN@mm
   •  Mcafee: W32/Bagle.dq
   •  TrendMicro: TROJ_DLOADER.BOI
   •  Bitdefender: Trojan.Downloader.Small.IJ

Precedentemente individuato come:
   •  Worm/Bagle.FJ.2


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Modifica del registro

 File Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://dook.**********
   • http://debut.**********
   • http://myphoto**********
   • http://ijj.t**********
   • http://209.16.85.230/**********
Viene salvato in locale sotto: %TEMPDIR%\win%stringa di caratteri casuale%.tmp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %directory di esecuzione del malware%\%file
      eseguiti%=%directory di esecuzione del malware%\%file
      eseguiti%:*:Enabled:ipsec

 Varie Mutex:
Crea il seguente Mutex:
   • bagla_super_downloader_1000

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Andrei Gherman su lunedì 13 febbraio 2006
Descrizione aggiornata da Andrei Gherman su lunedì 20 febbraio 2006

Indietro . . . .