TR/Bagle.CU - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Bagle.CU
Scoperto:	20/09/2005
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	35.146 Byte
Somma di controllo MD5:	a543640698380e7a3fe5607cfc42304c
Versione VDF:	6.32.0.21

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Trojan.Tooso.P
   • Mcafee: W32/Bagle.cl
   • Kaspersky: Email-Worm.Win32.Bagle.de
   • TrendMicro: TROJ_BAGLE.DA
   • Bitdefender: Win32.Bagle.CZ@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica un file
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

File Si copia alla seguente posizione:
   • %SYSDIR%\winshost.exe

Rinomina i seguenti file:

    • AUPDATE.EXE in AUPD1ATE.EXE
    • av.dll in a5v.dll
    • Avconsol.exe in Avc1onsol.exe
    • avgcc.exe in avgc3c.exe
    • avgemc.exe in avg23emc.exe
    • Avsynmgr.exe in Av1synmgr.exe
    • cafix.exe in c6a5fix.exe
    • ccApp.exe in ccA1pp.exe
    • CCEVTMGR.EXE in C1EVTMGR.EXE
    • ccl30.dll in cc1l30.dll
    • CCSETMGR.EXE in C1CSETMGR.EXE
    • ccvrtrst.dll in ccv1rtrst.dll
    • CMGrdian.exe in CM1Grdian.exe
    • isafe.exe in is5a6fe.exe
    • KAV.exe in K2A2V.exe
    • kavmm.exe in kav12mm.exe
    • LUALL.EXE in LUAL1L.EXE
    • LUINSDLL.DLL in LUI1NSDLL.DLL
    • Luupdate.exe in Luup1date.exe
    • Mcshield.exe in Mcsh1ield.exe
    • NAVAPSVC.EXE in NAV1APSVC.EXE
    • NPFMNTOR.EXE in NPFM1NTOR.EXE
    • outpost.exe in outp1ost.exe
    • RuLaunch.exe in RuLa1unch.exe
    • SNDSrvc.exe in SND1Srvc.exe
    • SPBBCSvc.exe in SP1BBCSvc.exe
    • symlcsvc.exe in s1ymlcsvc.exe
    • Up2Date.exe in Up222Date.exe
    • vetredir.dll in ve6tre5dir.dll
    • Vshwin32.exe in Vshw1in32.exe
    • VsStat.exe in Vs1Stat.exe
    • vsvault.dll in vs6va5ult.dll
    • zlclient.exe in zlcli6ent.exe
    • zonealarm.exe in zo3nealarm.exe
    • zatutor.exe in zatu6tor.exe
    • zlavscan.dll in zl5avscan.dll

Viene creato il seguente file:

– %SYSDIR%\wiwshost.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR\Bagle.CU.1

Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • www.**********build.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********hio.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********bras.com/osa6.gif
   • www.**********online.de/osa6.gif
   • www.**********.cn/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********ecurity.de/osa6.gif
   • www.**********ecasa.it/osa6.gif
   • www.**********media.nl/osa6.gif
   • www.**********project.com/osa6.gif
   • www.**********wanjia.com/osa6.gif
   • www.**********anqing.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********gong.org/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com.pl/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********hardtgmbh.de/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********chule-herb.de/osa6.gif
   • www.**********lesser.de/osa6.gif
   • www.**********garoy.com/osa6.gif
   • www.**********occidente.com/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.fi/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********ters.org/osa6.gif
   • www.**********zeuge.de/osa6.gif
   • www.**********.com.tw/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********service.be/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.cl/osa6.gif
   • www.**********tgweb.de/osa6.gif
   • www.**********.sk/osa6.gif
   • www.**********american.com/osa6.gif
   • www.**********shinn.com/osa6.gif
   • www.**********gjuok.com/osa6.gif
   • www.**********bo.com/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********rketvw.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********mbh.com/osa6.gif
   • www.**********.com.pe/osa6.gif
   • www.**********.ee/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.ch/osa6.gif
   • www.**********gaderc.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********buecher.de/osa6.gif
   • www.**********nyuan.com/osa6.gif
   • www.**********waaij.nl/osa6.gif
   • www.**********anet.sk/osa6.gif
   • www.**********photo.com/osa6.gif
   • www.**********etaet.de/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********jor.ru/osa6.gif
   • www.**********.org/osa6.gif
   • www.**********.biz/osa6.gif
   • www.**********.home.pl/osa6.gif
   • www.**********steel.at/osa6.gif
   • www.**********.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com.hk/osa6.gif
   • www.**********pharm.com/osa6.gif
   • www.**********.dehtdocs/osa6.gif
   • www.**********.stir.ac.uk/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********betcs.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********heng.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com.cn/osa6.gif
   • www.**********basketball.de/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********venture.com/osa6.gif
   • www.**********.tv/osa6.gif
   • www.**********asoutfitter.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.friko.pl/osa6.gif
   • www.**********.be/osa6.gif
   • www.**********.com.pt/osa6.gif
   • www.**********elourway.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********pecchi.it/osa6.gif
   • www.**********.sk/osa6.gif
   • www.**********erchair.com/osa6.gif
   • www.**********.hu/osa6.gif
   • www.**********senelektro.be/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.vn/osa6.gif
   • www.**********.ac.in/osa6.gif
   • www.**********fateh.com/osa6.gif
   • www.**********bank.pl/osa6.gif
   • www.**********.asn.au/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********productions.com/osa6.gif
   • www.**********country.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********industries.com/osa6.gif
   • www.**********.pl/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.net/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.com/osa6.gif
   • www.**********.cz/osa6.gif
   • www.**********spruyt.be/osa6.gif
   • www.**********download.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********software.com/osa6.gif
   • www.**********.co.za/osa6.gif
   • www.**********.az/osa6.gif
   • www.**********.edu.sk/osa6.gif
Viene salvato in locale sotto: %WINDIR%\_re_file.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe"="%SYSDIR%\winshost.exe"

I valori delle seguenti chiavi di registro vengono rimossi:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • McAfee Guardian
   • NAV CfgWiz
   • SSC_UserPrompt
   • Symantec NetDriver Monitor
   • Zone Labs Client

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • McAfee.InstantUpdate.Monitor

Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKLM\SOFTWARE\Agnitum]
   • [HKLM\SOFTWARE\KasperskyLab]
   • [HKLM\SOFTWARE\McAfee]
   • [HKLM\SOFTWARE\Panda Software]
   • [HKLM\SOFTWARE\Symantec]
   • [HKLM\SOFTWARE\Zone Labs]

Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\FirstRun]
   • "FirstRunRR"=dword:00000001

Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:

File allegato:
Il nome del file allegato è uno dei seguenti:
   • 09_price.zip
   • new__price.zip
   • new_price.zip
   • newprice.zip
   • price2.zip
   • price_09.zip
   • price_new.zip

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

L'host del file modificato sarà del tipo:

Processi terminati Lista dei processi che vengono terminati:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AVPUPD.EXE; AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; ESCANHNT.EXE; FIREWALL.EXE; ICSSUPPNT.EXE;
      ICSUPP95.EXE; LUALL.EXE; MCUPDATE.EXE; NUPGRADE.EXE; OUTPOST.EXE;
      UPDATE.EXE; UPGRADER.EXE

I seguenti servizi vengono disattivati:
   • Ahnlab task Scheduler; alerter; AlertManger; AVExch32Service;
      avg7alrt; avg7updsvc; AvgCore; AvgFsh; AvgServ; AVPCC; AVUPDService;
      AvxIni; awhost32; backweb client - 4476822; BackWeb Client - 7681197;
      BlackICE; CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe;
      DefWatch; dvpapi; dvpinit; fsbwsys; FSDFWD; F-Secure Gatekeeper
      Handler Starter; FSMA; KAVMonitorService; kavsvc; KLBLMain; McAfee
      Firewall; McAfeeFramework; McShield; McTaskManager; mcupdmgr.exe;
      MCVSRte; MonSvcNT; navapsvc; navapsvc; Network Associates Log Service;
      NISSERV; NISUM; NOD32ControlCenter; NOD32Service; Norman NJeeves;
      Norman ZANDA; Norton Antivirus Server; NPFMntor; NProtectService;
      NSCTOP; nvcoas; NVCScheduler; nwclntc; nwclntd; nwclnte; nwclntf;
      nwclntg; nwclnth; NWService; Outbreak Manager; Outpost Firewall;
      OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt; PavPrSrv; PAVSRV;
      PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE; SAVScan;
      SBService; schscnt; sharedaccess; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic
      AntiVirus Plug-in; vsmon; wscsvc; wuauserv; XCOMM

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\wiwshost.exe

Nome del processo:
• explorer.exe

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Tue, 20 Sep 2005 13:52 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Thu, 22 Sep 2005 13:41 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro