English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Bagle.CQ
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Bagle.CQ - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Bagle.CR
発見日:
20/09/2005
タイプ
トロイの木馬
感染報告有り
はい
感染報告
中
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
35.554 バイト
MD5 チェックサム
858B2DA472870C591BF4D0CDE91AC53B
VDFファージョン:
6.32.0.18
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Symantec(シマンテック) Trojan.Tooso.P
• McAfee(マカフィー) W32/Bagle.cj
• Kaspersky(カスペルスキー) Email-Worm.Win32.Bagle.da
• TrendMicro(トレンドマイクロ) TROJ_BAGLE.DA
• ビットディフェンダー(Bitdefender): Win32.Bagle.CJ@mm
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ・アプリケーションを無効にします。
• 悪意ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
実行後、それは以下のウインドウを表示するアプリケーションを開始します:
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\winshost.exe
以下のファイルの名前を変更します:
• CCSETMGR.EXE へ C1CSETMGR.EXE
• CCEVTMGR.EXE へ CC1EVTMGR.EXE
• NAVAPSVC.EXE へ NAV1APSVC.EXE
• NPFMNTOR.EXE へ NPFM1NTOR.EXE
• symlcsvc.exe へ s1ymlcsvc.exe
• SPBBCSvc.exe へ SP1BBCSvc.exe
• SNDSrvc.exe へ SND1Srvc.exe
• ccApp.exe へ ccA1pp.exe
• ccl30.dll へ cc1l30.dll
• ccvrtrst.dll へ ccv1rtrst.dll
• LUALL.EXE へ LUAL1L.EXE
• AUPDATE.EXE へ AUPD1ATE.EXE
• Luupdate.exe へ Luup1date.exe
• LUINSDLL.DLL へ LUI1NSDLL.DLL
• RuLaunch.exe へ RuLa1unch.exe
• CMGrdian.exe へ CM1Grdian.exe
• Mcshield.exe へ Mcsh1ield.exe
• outpost.exe へ outp1ost.exe
• Avconsol.exe へ Avc1onsol.exe
• Vshwin32.exe へ Vshw1in32.exe
• VsStat.exe へ Vs1Stat.exe
• Avsynmgr.exe へ Av1synmgr.exe
• kavmm.exe へ kav12mm.exe
• Up2Date.exe へ Up222Date.exe
• KAV.exe へ K2A2V.exe
• avgcc.exe へ avgc3c.exe
• avgemc.exe へ avg23emc.exe
• zonealarm.exe へ zo3nealarm.exe
• zatutor.exe へ zatu6tor.exe
• zlavscan.dll へ zl5avscan.dll
• zlclient.exe へ zlcli6ent.exe
• isafe.exe へ is5a6fe.exe
• cafix.exe へ c6a5fix.exe
• vsvault.dll へ vs6va5ult.dl
• av.dll へ a5v.dll
• vetredir.dll へ ve6tre5dir.dll
以下のファイルが作成されます:
–
%SYSDIR%
\wiwshost.exe 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Bagle.CQ.1
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://www.21ebu**********.com/osa6.gif
• http://www.**********.net/osa6.gif
• http://www.acs**********.com/osa6.gif
• http://www.ag**********.hu/osa6.gif
• http://www.a**********.com/.vn/osa6.gif
• http://www.ang**********.de/osa6.gif
• http://www.ascolf**********.com/osa6.gif
• http://www.automobil**********.de/osa6.gif
• http://www.ban**********.cn/osa6.gif
• http://www.beall**********.com/osa6.gif
• http://www.b**********.at/osa6.gif
• http://www.bs-sec**********.de/osa6.gif
• http://www.centroveste**********.it/osa6.gif
• http://www.checko**********.nl/osa6.gif
• http://www.**********project.com/osa6.gif
• http://www.**********wanjia.com/osa6.gif
• http://www.czwa**********.com/osa6.gif
• http://www.**********net.hu/osa6.gif
• http://www.design**********.org/osa6.gif
• http://www.dgy.com/**********/osa6.gif
• http://www.**********-fliesen.de/osa6.gif
• http://www.discoteka-**********.com/osa6.gif
• http://www.**********-invest.com/osa6.gif
• http://www.ea**********.com/osa6.gif
• http://www.**********club.com/osa6.gif
• http://www.eh**********.hu/osa6.gif
• http://www.elvis**********.ch/osa6.gif
• http://www.engelhard**********.de/osa6.gif
• http://www.exter**********.hu/osa6.gif
• http://www.fahrschule**********.de/osa6.gif
• http://www.**********-lesser.de/osa6.gif
• http://www.ferme**********.com/osa6.gif
• http://www.festivalteatro**********.com/osa6.gif
• http://www.form**********.at/osa6.gif
• http://www.foto**********.fi/osa6.gif
• http://www.**********trox.com/.tw/osa6.gif
• http://www.gepe**********.org/osa6.gif
• http://www.gimex-**********.de/osa6.gif
• http://www.**********home.com/.tw/osa6.gif
• http://www.**********mzn.cz/osa6.gif
• http://www.**********service.be/osa6.gif
• http://www.id**********.de/osa6.gif
• http://www.**********cs.be/osa6.gif
• http://www.**********er.cl/osa6.gif
• http://www.inside-**********.de/osa6.gif
• http://www.**********oli.sk/osa6.gif
• http://www.**********-american.com/osa6.gif
• http://www.jeo**********.com/osa6.gif
• http://www.jing**********.com/osa6.gif
• http://www.**********-bo.com/osa6.gif
• http://www.king**********.ch/osa6.gif
• http://www.marke**********.com/osa6.gif
• http://www.mega**********.net/osa6.gif
• http://www.**********ild.at/osa6.gif
• http://www.ni**********.de/osa6.gif
• http://www.**********gmbh.com/osa6.gif
• http://www.**********va.com/.pe/osa6.gif
• http://www.**********24.ee/osa6.gif
• http://www.**********link.net/osa6.gif
• http://www.**********-alliance.de/osa6.gif
• http://www.pre**********.ch/osa6.gif
• http://www.renega**********.com/osa6.gif
• http://www.repl**********.com/osa6.gif
• http://www.**********buecher.de/osa6.gif
• http://www.sanjin**********.com/osa6.gif
• http://www.scvanra**********.nl/osa6.gif
• http://www.slova**********.sk/osa6.gif
• http://www.**********photo.com/osa6.gif
• http://www.socie**********.de/osa6.gif
• http://www.**********co.org/osa6.gif
• http://www.soft**********.ru/osa6.gif
• http://www.so**********.org/osa6.gif
• http://www.spac**********.biz/osa6.gif
• http://www.speedcom.**********.pl/osa6.gif
• http://www.**********-in-steel.at/osa6.gif
• http://www.spo**********.de/osa6.gif
• http://www.sport**********.com/osa6.gif
• http://www.**********y.az/osa6.gif
• http://www.**********solutions.com/osa6.gif
• http://www.st-paulus-**********.de/osa6.gif
• http://www.st**********.com/osa6.gif
• http://www.steri**********.com/osa6.gif
• http://www.students.**********.ac.uk/osa6.gif
• http://www.**********planet.com/osa6.gif
• http://www.sun**********.com/osa6.gif
• http://www.super**********.com/osa6.gif
• http://www.**********eb.cz/osa6.gif
• http://www.syd**********.com/osa6.gif
• http://www.**********iheng.com/osa6.gif
• http://www.**********campus.net/osa6.gif
• http://www.tec**********.de/osa6.gif
• http://www.**********-mutan.com/osa6.gif
• http://www.thai**********.com/osa6.gif
• http://www.**********venture.com/osa6.gif
• http://www.**********funkiest.com/osa6.gif
• http://www.**********step.tv/osa6.gif
• http://www.thetexas**********.com/osa6.gif
• http://www.tmhcsd1987.**********.pl/osa6.gif
• http://www.tous**********.be/osa6.gif
• http://www.tr**********.com/osa6.gif
• http://www.travel**********.com/osa6.gif
• http://www.**********.dobrcz.pl/osa6.gif
• http://www.tri**********.cz/osa6.gif
• http://www.**********tonic.ch/osa6.gif
• http://www.tv-**********.com/osa6.gif
• http://www.**********-cassinadepecchi.it/osa6.gif
• http://www.uni**********.sk/osa6.gif
• http://www.**********chair.com/osa6.gif
• http://www.u**********.hu/osa6.gif
• http://www.**********senelektro.be/osa6.gif
• http://www.vet**********.com/osa6.gif
• http://www.**********meloni.com/osa6.gif
• http://www.**********nn.vn/osa6.gif
• http://www.**********vjiet.ac.in/osa6.gif
• http://www.vote2**********.com/osa6.gif
• http://www.vw.**********-bank.pl/osa6.gif
• http://www.wamba.**********.au/osa6.gif
• http://www.wdlp.**********.za/osa6.gif
• http://www.**********corp.com/osa6.gif
• http://www.**********productions.com/osa6.gif
• http://www.wilson**********.com/osa6.gif
• http://www.wind**********.pl/osa6.gif
• http://www.**********-industries.com/osa6.gif
• http://www.**********old.pl/osa6.gif
• http://www.womb**********.com/osa6.gif
• http://www.**********reme.cz/osa6.gif
• http://www.xian**********.net/osa6.gif
• http://www.**********pie.com/osa6.gif
• http://www.xm**********.com/osa6.gif
• http://www.xo**********.com/osa6.gif
• http://www.yannick-**********.be/osa6.gif
• http://www.**********download.com/osa6.gif
• http://www.yester**********.za
• http://www.**********kj.com/osa6.gif
• http://www.zakazcd.**********.ua/osa6.gif
• http://www.**********ftware.com/osa6.gif
• http://www.**********tek.co.za/osa6.gif
• http://www.zor**********.az/osa6.gif
• http://www.**********sala.edu.sk/osa6.gif
ハードディスクの以下のパスにセーヴされます:
%WINDIR%
\_re_file.exe ダウンロードが終了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました:
TR/Bagle.DE.3.A
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "winshost.exe"="
%SYSDIR%
\winshost.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "winshost.exe"="
%SYSDIR%
\winshost.exe"
以下のレジストリ・キーの値が消えています:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• APVXDWIN
• KAV50
• avg7_cc
• avg7_emc
• Zone Labs Client
• Symantec NetDriver Monitor
• ccApp
• NAV CfgWiz
• SSC_UserPrompt
• McAfee Guardian
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• McAfee.InstantUpdate.Monitor
• internat.exe
以下のレジストリ・キーが追加されます:
– [HKCU\Software\FirstRun]
• "FirstRunRR"=dword:00000001
Eメール
それ自身に伝染する能力はありませんが、メールを通して感染します。特徴は以下の通りです:
添付ファイル
添付ファイルの名前は:
• new__price.zip
• new_price.zip
• newprice.zip
• price2.zip
• 09_price.zip
• price_09.zip
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は削除されます。
改変されたホストファイルの外見は以下のようになります。
プロセス中断
以下のプロセスは終了されます:
• NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE;
AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE;
ESCANH95.EXE; AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE;
AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE
以下のサービスは無効にされます:
• wuauserv (Windows Automatic Updates); SharedAccess (Windows Firewall /
Internet Connection Sharing); Alerter; PAVSRV; PAVFNSVR; PSIMSVC;
Pavkre; PavProt; PREVSRV; PavPrSrv; SharedAccess; NPFMntor; Outpost
Firewall; SAVScan; SBService; Symantec Core LC; ccEvtMgr; SNDSrvc;
ccPwdSvc; ccSetMgr.exe; SPBBCSvc; KLBLMain; avg7alrt; avg7updsvc;
vsmon; CAISafe; avpcc; fsbwsys; backweb client - 4476822; fsdfwd;
F-Secure Gatekeeper Handler Starter; FSMA; KAVMonitorService;
navapsvc; NProtectService; Norton Antivirus Server; VexiraAntivirus;
dvpinit; dvpapi; schscnt; BackWeb Client - 7681197; F-Secure
Gatekeeper Handler Starter; FSMA; AVPCC; KAVMonitorService; Norman
NJeeves; NVCScheduler; nvcoas; Norman ZANDA; PASSRV; SweepNet;
SWEEPSRV.SYS; NOD32ControlCenter; NOD32Service; PCCPFW; Tmntsrv;
AvxIni; XCOMM; ravmon8; SmcService; BlackICE; PersFW; McAfee Firewall;
OutpostFirewall; NWService; NISUM; NISSERV; vsmon; nwclnth; nwclntg;
nwclnte; nwclntf; nwclntd; nwclntc; navapsvc; SAVScan; kavsvc;
DefWatch; Symantec AntiVirus Client; NSCTOP; Symantec Core LC;
SAVScan; SAVFMSE; ccEvtMgr; navapsvc; ccSetMgr; VisNetic AntiVirus
Plug-in; McShield; AlertManger; McAfeeFramework; AVExch32Service;
AVUPDService; McTaskManager; Network Associates Log Service; Outbreak
Manager; MCVSRte; mcupdmgr.exe; AvgServ; AvgCore; AvgFsh; awhost32;
Ahnlab task Scheduler; MonSvcNT; V3MonNT; V3MonSvc; FSDFWD
挿入(Injection)
– 以下のファイルをプロセスに挿入させます: wiwshost.exe
プロセス名:|以下のすべて:
• explorer.exe
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Oliver Auerbach によって Mon, 19 Sep 2005 17:00 (GMT+1) 書き込まれました。
この説明は Victor Tone によって Fri, 23 Sep 2005 10:23 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
