TR/Bagle.CZ - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Bagle.CZ
発見日：	21/09/2005
タイプ	トロイの木馬
感染報告有り	はい
感染報告	中
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	35.343 バイト
MD5　チェックサム	0b3674f22bc7149c737b1b1133beb726
VDFファージョン：	6.32.0.28

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Trojan.Tooso.Q
   • TrendMicro(トレンドマイクロ） TROJ_BAGLE.DA
   • F-Secure(エフ・セキュア) W32/Mitglieder.FL
   • ビットディフェンダー(Bitdefender)： Win32.Bagle.DG@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

起動後以下の情報が表示されます：

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\winshost.exe

以下のファイルが作成されます：

– %SYSDIR%\winshost.exe 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Bagle.CZ.1

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://www.**********.be/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.co.za/osa6.gif
   • http://www.**********.ac.uk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.co.za/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.sk/osa6.gif
   • http://www.**********.az/osa6.gif
   • http://www.**********.edu.sk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.ch/osa6.gif
   • http://www.**********.com.tw/osa6.gif
   • http://www.**********.cl/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.ee/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.org/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.it/osa6.gif
   • http://www.**********.sk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.tw/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.it/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.ac.in/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.nl/osa6.gif
   • http://www.**********.fi/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.asn.au/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.co.za/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.cn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.org/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.org/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.pt/osa6.gif
   • http://www.**********.at/osa6.gif
   • http://www.**********.com.hk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.pe/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.vn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.be/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.friko.pl/osa6.gif
   • http://www.**********.tv/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.pl/osa6.gif
   • http://www.**********.net/osa6.gif
   • http://www.**********.sk/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.hu/osa6.gif
   • http://www.**********.com.cn/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com.pl/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.nl/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.cz/osa6.gif
   • http://www.**********.de/osa6.gif
   • http://www.**********.com/osa6.gif
   • http://www.**********.ch/osa6.gif
ハードディスクの以下のパスにセーヴされます： %WINDIR%\_re_file.exe ダウンロードが終了した後、起動されます。これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

以下のレジストリ・キーの値が消えています：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ccApp
   • NAV CfgWiz
   • SSC_UserPrompt
   • McAfee Guardian
   • APVXDWIN
   • KAV50
   • avg7_cc
   • avg7_emc
   • Zone Labs Client
   • Symantec NetDriver Monitor

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • McAfee.InstantUpdate.Monitor

以下のレジストリ・キーが追加されます：

– [HKCU\Software\FirstRun]
   • "FirstRunRR"=dword:00000001

Eメールそれ自身に伝染する能力はありませんが、メールを通して感染します。特徴は以下の通りです：

添付ファイル
添付ファイルの名前は：
   • new__price.zip
   • new_price.zip
   • newprice.zip
   • price2.zip
   • 09_price.zip
   • price_09.zip

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は削除されます。

改変されたホストファイルの外見は以下のようになります。

プロセス中断以下のプロセスは終了されます：
   • NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
      AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE;
      ESCANH95.EXE; AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE;
      AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE

以下のサービスは無効にされます：
   • wuauserv (Windows Automatic Updates); SharedAccess (Windows
      Firewall/Internet Connection Sharing); Alerter; PAVSRV; PAVFNSVR;
      PSIMSVC; Pavkre; PavProt; PREVSRV; PavPrSrv; SharedAccess; NPFMntor;
      Outpost; Firewall; SAVScan; SBService; Symantec Core LC; ccEvtMgr;
      SNDSrvc; ccPwdSvc; ccSetMgr.exe; SPBBCSvc; KLBLMain; avg7alrt;
      avg7updsvc; vsmon; CAISafe; avpcc; fsbwsys; backweb client - 4476822;
      fsdfwd; F-Secure Gatekeeper Handler Starter; FSMA; KAVMonitorService;
      navapsvc; NProtectService; Norton Antivirus Server; VexiraAntivirus;
      dvpinit; dvpapi; schscnt; BackWeb Client - 7681197; F-Secure;
      Gatekeeper Handler Starter; FSMA; AVPCC; KAVMonitorService; Norman;
      NJeeves; NVCScheduler; nvcoas; Norman ZANDA; PASSRV; SweepNet;
      SWEEPSRV.SYS; NOD32ControlCenter; NOD32Service; PCCPFW; Tmntsrv;
      AvxIni; XCOMM; ravmon8; SmcService; BlackICE; PersFW; McAfee Firewall;
      OutpostFirewall; NWService; NISUM; NISSERV; vsmon; wclnth; nwclntg;
      nwclnte; nwclntf; nwclntd; nwclntc; navapsvc; SAVScan; kavsvc;
      DefWatch; Symantec AntiVirus Client; NSCTOP; Symantec Core LC;
      SAVScan; SAVFMSE; ccEvtMgr; navapsvc; ccSetMgr; VisNetic AntiVirus;
      Plug-in; McShield; AlertManger; McAfeeFramework; AVExch32Service;
      AVUPDService; McTaskManager; Network Associates Log Service; Outbreak;
      Manager; MCVSRte; mcupdmgr.exe; AvgServ; AvgCore; AvgFsh; awhost32;
      Ahnlab task Scheduler; MonSvcNT; V3MonNT; V3MonSvc; FSDFWD

挿入(Injection) – 以下のファイルをプロセスに挿入させます： %SYSDIR%\wiwshost.exe

プロセス名：｜以下のうちの１つ：
• %WINDIR%\explorer.exe

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Catalin Jora によって Wed, 21 Sep 2005 10:44 (GMT+1) 書き込まれました。
この説明は Catalin Jora によって Mon, 26 Sep 2005 14:00 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back