English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Bagle.DA
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Bagle.DA - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Bagle.DA
発見日:
22/09/2005
タイプ
トロイの木馬
感染報告有り
はい
感染報告
中
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
35.579 バイト
MD5 チェックサム
3713c5a204da99721fb5fe4ea7021ced
VDFファージョン:
6.32.0.28
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Symantec(シマンテック) Trojan.Tooso.Q
• Kaspersky(カスペルスキー) Email-Worm.Win32.Bagle.dg
• TrendMicro(トレンドマイクロ) TROJ_BAGLE.DA
• ビットディフェンダー(Bitdefender): Win32.Bagle.DF@mm
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ 2000
• ウインドウズ XP
副作用
• セキュリティ・アプリケーションを無効にします。
• 悪意ファイルをダウンロードします。
• 悪意ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
実行後、それは以下のウインドウを表示するアプリケーションを開始します:
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\winshost.exe
以下のファイルの名前を変更します:
• CCSETMGR.EXE へ C1CSETMGR.EXE
• CCEVTMGR.EXE へ CC1EVTMGR.EXE
• NAVAPSVC.EXE へ NAV1APSVC.EXE
• NPFMNTOR.EXE へ NPFM1NTOR.EXE
• symlcsvc.exe へ s1ymlcsvc.exe
• SPBBCSvc.exe へ SP1BBCSvc.exe
• SNDSrvc.exe へ SND1Srvc.exe
• ccApp.exe へ ccA1pp.exe
• ccl30.dll へ cc1l30.dll
• ccvrtrst.dll へ ccv1rtrst.dll
• LUALL.EXE へ LUAL1L.EXE
• AUPDATE.EXE へ AUPD1ATE.EXE
• Luupdate.exe へ Luup1date.exe
• LUINSDLL.DLL へ LUI1NSDLL.DLL
• RuLaunch.exe へ RuLa1unch.exe
• CMGrdian.exe へ CM1Grdian.exe
• Mcshield.exe へ Mcsh1ield.exe
• outpost.exe へ outp1ost.exe
• Avconsol.exe へ Avc1onsol.exe
• Vshwin32.exe へ Vshw1in32.exe
• VsStat.exe へ Vs1Stat.exe
• Avsynmgr.exe へ Av1synmgr.exe
• kavmm.exe へ kav12mm.exe
• Up2Date.exe へ Up222Date.exe
• KAV.exe へ K2A2V.exe
• avgcc.exe へ avgc3c.exe
• avgemc.exe へ avg23emc.exe
• zonealarm.exe へ zo3nealarm.exe
• zatutor.exe へ zatu6tor.exe
• zlavscan.dll へ zl5avscan.dll
• zlclient.exe へ zlcli6ent.exe
• isafe.exe へ is5a6fe.exe
• cafix.exe へ c6a5fix.exe
• vsvault.dll へ vs6va5ult.dll
• av.dll へ a5v.dll
• vetredir.dll へ ve6tre5dir.dll
以下のファイルが作成されます:
–
%SYSDIR%
\wiwshost.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Bagle.DA.1
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://www.21ebu**********.com/osa6.gif
• http://www.**********.net/osa6.gif
• http://www.acs**********.com/osa6.gif
• http://www.ag**********.hu/osa6.gif
• http://www.a**********.com/.vn/osa6.gif
• http://www.ang**********.de/osa6.gif
• http://www.ascolf**********.com/osa6.gif
• http://www.automobil**********.de/osa6.gif
• http://www.ban**********.cn/osa6.gif
• http://www.beall**********.com/osa6.gif
• http://www.b**********.at/osa6.gif
• http://www.bs-sec**********.de/osa6.gif
• http://www.centroveste**********.it/osa6.gif
• http://www.checko**********.nl/osa6.gif
• http://www.**********project.com/osa6.gif
• http://www.**********wanjia.com/osa6.gif
• http://www.czwa**********.com/osa6.gif
• http://www.**********net.hu/osa6.gif
• http://www.design**********.org/osa6.gif
• http://www.dgy.com/**********/osa6.gif
• http://www.**********-fliesen.de/osa6.gif
• http://www.discoteka-**********.com/osa6.gif
• http://www.**********-invest.com/osa6.gif
• http://www.ea**********.com/osa6.gif
• http://www.**********club.com/osa6.gif
• http://www.eh**********.hu/osa6.gif
• http://www.elvis**********.ch/osa6.gif
• http://www.engelhard**********.de/osa6.gif
• http://www.exter**********.hu/osa6.gif
• http://www.fahrschule**********.de/osa6.gif
• http://www.**********-lesser.de/osa6.gif
• http://www.ferme**********.com/osa6.gif
• http://www.festivalteatro**********.com/osa6.gif
• http://www.form**********.at/osa6.gif
• http://www.foto**********.fi/osa6.gif
• http://www.**********trox.com/.tw/osa6.gif
• http://www.gepe**********.org/osa6.gif
• http://www.gimex-**********.de/osa6.gif
• http://www.**********home.com/.tw/osa6.gif
• http://www.**********mzn.cz/osa6.gif
• http://www.**********service.be/osa6.gif
• http://www.id**********.de/osa6.gif
• http://www.**********cs.be/osa6.gif
• http://www.**********er.cl/osa6.gif
• http://www.inside-**********.de/osa6.gif
• http://www.**********oli.sk/osa6.gif
• http://www.**********-american.com/osa6.gif
• http://www.jeo**********.com/osa6.gif
• http://www.jing**********.com/osa6.gif
• http://www.**********-bo.com/osa6.gif
• http://www.king**********.ch/osa6.gif
• http://www.marke**********.com/osa6.gif
• http://www.mega**********.net/osa6.gif
• http://www.**********ild.at/osa6.gif
• http://www.ni**********.de/osa6.gif
• http://www.**********gmbh.com/osa6.gif
• http://www.**********va.com/.pe/osa6.gif
• http://www.**********24.ee/osa6.gif
• http://www.**********link.net/osa6.gif
• http://www.**********-alliance.de/osa6.gif
• http://www.pre**********.ch/osa6.gif
• http://www.renega**********.com/osa6.gif
• http://www.repl**********.com/osa6.gif
• http://www.**********buecher.de/osa6.gif
• http://www.sanjin**********.com/osa6.gif
• http://www.scvanra**********.nl/osa6.gif
• http://www.slova**********.sk/osa6.gif
• http://www.**********photo.com/osa6.gif
• http://www.socie**********.de/osa6.gif
• http://www.**********co.org/osa6.gif
• http://www.soft**********.ru/osa6.gif
• http://www.so**********.org/osa6.gif
• http://www.spac**********.biz/osa6.gif
• http://www.speedcom.**********.pl/osa6.gif
• http://www.**********-in-steel.at/osa6.gif
• http://www.spo**********.de/osa6.gif
• http://www.sport**********.com/osa6.gif
• http://www.**********y.az/osa6.gif
• http://www.**********solutions.com/osa6.gif
• http://www.st-paulus-**********.de/osa6.gif
• http://www.st**********.com/osa6.gif
• http://www.steri**********.com/osa6.gif
• http://www.students.**********.ac.uk/osa6.gif
• http://www.**********planet.com/osa6.gif
• http://www.sun**********.com/osa6.gif
• http://www.super**********.com/osa6.gif
• http://www.**********eb.cz/osa6.gif
• http://www.syd**********.com/osa6.gif
• http://www.**********iheng.com/osa6.gif
• http://www.**********campus.net/osa6.gif
• http://www.tec**********.de/osa6.gif
• http://www.**********-mutan.com/osa6.gif
• http://www.thai**********.com/osa6.gif
• http://www.**********venture.com/osa6.gif
• http://www.**********funkiest.com/osa6.gif
• http://www.**********step.tv/osa6.gif
• http://www.thetexas**********.com/osa6.gif
• http://www.tmhcsd1987.**********.pl/osa6.gif
• http://www.tous**********.be/osa6.gif
• http://www.tr**********.com/osa6.gif
• http://www.travel**********.com/osa6.gif
• http://www.**********.dobrcz.pl/osa6.gif
• http://www.tri**********.cz/osa6.gif
• http://www.**********tonic.ch/osa6.gif
• http://www.tv-**********.com/osa6.gif
• http://www.**********-cassinadepecchi.it/osa6.gif
• http://www.uni**********.sk/osa6.gif
• http://www.**********chair.com/osa6.gif
• http://www.u**********.hu/osa6.gif
• http://www.**********senelektro.be/osa6.gif
• http://www.vet**********.com/osa6.gif
• http://www.**********meloni.com/osa6.gif
• http://www.**********nn.vn/osa6.gif
• http://www.**********vjiet.ac.in/osa6.gif
• http://www.vote2**********.com/osa6.gif
• http://www.vw.**********-bank.pl/osa6.gif
• http://www.wamba.**********.au/osa6.gif
• http://www.wdlp.**********.za/osa6.gif
• http://www.**********corp.com/osa6.gif
• http://www.**********productions.com/osa6.gif
• http://www.wilson**********.com/osa6.gif
• http://www.wind**********.pl/osa6.gif
• http://www.**********-industries.com/osa6.gif
• http://www.**********old.pl/osa6.gif
• http://www.womb**********.com/osa6.gif
• http://www.**********reme.cz/osa6.gif
• http://www.xian**********.net/osa6.gif
• http://www.**********pie.com/osa6.gif
• http://www.xm**********.com/osa6.gif
• http://www.xo**********.com/osa6.gif
• http://www.yannick-**********.be/osa6.gif
• http://www.**********download.com/osa6.gif
• http://www.yester**********.za
• http://www.**********kj.com/osa6.gif
• http://www.zakazcd.**********.ua/osa6.gif
• http://www.**********ftware.com/osa6.gif
• http://www.**********tek.co.za/osa6.gif
• http://www.zor**********.az/osa6.gif
• http://www.**********sala.edu.sk/osa6.gif
ハードディスクの以下のパスにセーヴされます:
%WINDIR%
\_RE_FILE.exe ダウンロードが終了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました:
TR/Bagle.DE.3.A
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "winshost.exe"="
%SYSDIR%
\winshost.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "winshost.exe"="
%SYSDIR%
\winshost.exe"
以下のレジストリ・キーの値が消えています:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• APVXDWIN
• avg7_cc
• avg7_emc
• ccApp
• KAV50
• McAfee Guardian
• NAV CfgWiz
• SSC_UserPrompt
• Symantec NetDriver Monitor
• Zone Labs Client
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• McAfee.InstantUpdate.Monitor
– HKLM\SOFTWARE
• Agnitum
• KasperskyLab
• McAfee
• Panda Software
• Symantec
• Zone Labs
以下のレジストリ・キーが追加されます:
– HKCU\Software\FirstRun
• "FirstRunRR"=dword:00000001
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は削除されます。
改変されたホストファイルの外見は以下のようになります。
プロセス中断
以下のプロセスは終了されます:
• ATUPDATER.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE;
AUTOTRACE.EXE; AUTOUPDATE.EXE; AVPUPD.EXE; AVWUPD32.EXE; AVXQUAR.EXE;
AVXQUAR.EXE; CFIAUDIT.EXE; DRWEBUPW.EXE; ESCANH95.EXE; ESCANHNT.EXE;
FIREWALL.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; LUALL.EXE; MCUPDATE.EXE;
NUPGRADE.EXE; NUPGRADE.EXE; OUTPOST.EXE; UPDATE.EXE; UPGRADER.EXE
以下のサービスは無効にされます:
• Ahnlab task Scheduler; alerter; AlertManger; AntiVirus Plug-in;
AVExch32Service; avg7alrt; avg7updsvc; AvgCore; AvgFsh; AvgServ;
avpcc; AVPCC; AVUPDService; AvxIni; awhost32; backweb client -
4476822; BackWeb Client - 7681197; backweb client-4476822; BlackICE;
CAISafe; ccEvtMgr; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe;
DefWatch; dvpapi; dvpinit; fsbwsys; FSDFWD; fsdfwd; F-Secure;
F-Secure; FSMA; FSMA; Gatekeeper; Gatekeeper; Handler; Handler;
KAVMonitorService; KAVMonitorService; kavsvc; KLBLMain; McAfee
Firewall; McAfeeFramework; McShield; McTaskManager; mcupdmgr.exe;
MCVSRte; MonSvcNT; navapsvc; navapsvc; navapsvc S; Network Associates
Log Service; Outbreak Manager; NISSERV; NISUM; NJeeves;
NOD32ControlCenter; NOD32Service; Norman; Norman; Norton Antivirus
Server; NProtectService; NSCTOP; nvcoas; NVCScheduler; nwclntc;
nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; NWService;
OutpostFirewall; PASSRV; PCCPFW; PersFW; ravmon8; SAVFMSE; SAVScan;
SAVScan; SBService; schscnt; sharedaccess; SmcService; SNDSrvc;
SPBBCSvc; Starter; Starter; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus
Client; Symantec Core LC; Symantec Core LC; Tmntsrv; V3MonNT;
V3MonSvc; VexiraAntivirus; VisNetic; VScan; vsmon; vsmon; wuauserv;
XCOMM; ymantec Core LC; ZANDA
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\wiwshost.exe
プロセス名:|以下のすべて:
•
%WINDIR%
\Explorer.exe
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Irina Boldea によって Thu, 22 Sep 2005 16:11 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Mon, 26 Sep 2005 11:52 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
