TR/Bagle.DD - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Bagle.DD
発見日：	22/09/2005
タイプ	トロイの木馬
感染報告有り	はい
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	35.388 バイト
MD5　チェックサム	9a224276a9eede6b85b2b3770e016f11
VDFファージョン：	6.32.0.31

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Trojan.Tooso.Q
   • McAfee(マカフィー) W32/Bagle.gen
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Bagle.dp
   • TrendMicro(トレンドマイクロ） TROJ_BAGLE.DA
   • ビットディフェンダー(Bitdefender)： Win32.Bagle.DJ@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\winshost.exe

以下のファイルの名前を変更します：

    • CCSETMGR.EXE へ C1CSETMGR.EXE
    • CCEVTMGR.EXE へ CC1EVTMGR.EXE
    • NAVAPSVC.EXE へ NAV1APSVC.EXE
    • NPFMNTOR.EXE へ NPFM1NTOR.EXE
    • symlcsvc.exe へ s1ymlcsvc.exe
    • SPBBCSvc.exe へ SP1BBCSvc.exe
    • SNDSrvc.exe へ SND1Srvc.exe
    • ccApp.exe へ ccA1pp.exe
    • ccl30.dll へ cc1l30.dll
    • ccvrtrst.dll へ ccv1rtrst.dll
    • LUALL.EXE へ LUAL1L.EXE
    • AUPDATE.EXE へ AUPD1ATE.EXE
    • Luupdate.exe へ Luup1date.exe
    • LUINSDLL.DLL へ LUI1NSDLL.DLL
    • RuLaunch.exe へ RuLa1unch.exe
    • CMGrdian.exe へ CM1Grdian.exe
    • Mcshield.exe へ Mcsh1ield.exe
    • outpost.exe へ outp1ost.exe
    • Avconsol.exe へ Avc1onsol.exe
    • Vshwin32.exe へ Vshw1in32.exe
    • VsStat.exe へ Vs1Stat.exe
    • Avsynmgr.exe へ Av1synmgr.exe
    • kavmm.exe へ kav12mm.exe
    • Up2Date.exe へ Up222Date.exe
    • KAV.exe へ K2A2V.exe
    • avgcc.exe へ avgc3c.exe
    • avgemc.exe へ avg23emc.exe
    • zonealarm.exe へ zo3nealarm.exe
    • zatutor.exe へ zatu6tor.exe
    • zlavscan.dll へ zl5avscan.dll
    • zlclient.exe へ zlcli6ent.exe
    • isafe.exe へ is5a6fe.exe
    • cafix.exe へ c6a5fix.exe
    • vsvault.dll へ vs6va5ult.dll
    • av.dll へ a5v.dll
    • vetredir.dll へ ve6tre5dir.dll

以下のファイルが作成されます：

– %SYSDIR%\wiwshost.exe 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR.Bagle.DD.1

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • www.21eb**********ild.com\osa6.gif
   • www.51.n**********t\osa6.gif
   • www.acso**********io.com\osa6.gif
   • www.agri**********.hu\osa6.gif
   • www.andi**********com.vn\osa6.gif
   • www.angh**********m.de\osa6.gif
   • www.asco**********fibras.com\osa6.gif
   • www.auto**********obilonline.de\osa6.gif
   • www.bang**********an.cn\osa6.gif
   • www.beal**********-cpa.com\osa6.gif
   • www.bolz**********at\osa6.gif
   • www.bs-s**********curity.de\osa6.gif
   • www.cent**********ovestecasa.it\osa6.gif
   • www.chec**********onemedia.nl\osa6.gif
   • www.cont**********ntproject.com\osa6.gif
   • www.cz-w**********njia.com\osa6.gif
   • www.czwa**********qing.com\osa6.gif
   • www.czzm**********com\osa6.gif
   • www.data**********et.huwww.datanet.hu\osa6.gif
   • www.desi**********ngong.org\osa6.gif
   • www.dgy.**********om.cn\osa6.gif
   • www.die-**********liesen.de\osa6.gif
   • www.disc**********teka-funfactory.com\osa6.gif
   • www.dom-**********nvest.com.pl\osa6.gif
   • www.eagl**********.com.cn\osa6.gif
   • www.eagl**********club.com.cn\osa6.gif
   • www.ehc.**********u\osa6.gif
   • www.elvi**********-presley.ch\osa6.gif
   • www.enge**********hardtgmbh.de\osa6.gif
   • www.exte**********net.hu\osa6.gif
   • www.fahr**********chule-herb.de\osa6.gif
   • www.fahr**********chule-lesser.de\osa6.gif
   • www.ferm**********garoy.com\osa6.gif
   • www.fest**********valteatrooccidente.com\osa6.gif
   • www.form**********olz.at\osa6.gif
   • www.foto**********ax.fi\osa6.gif
   • www.gemt**********ox.com.tw\osa6.gif
   • www.gepe**********ers.org\osa6.gif
   • www.gime**********-messzeuge.de\osa6.gif
   • www.gomy**********ome.com.tw\osa6.gif
   • www.gymz**********.cz\osa6.gif
   • www.hond**********nservice.be\osa6.gif
   • www.idaf**********de\osa6.gif
   • www.idcs**********be\osa6.gif
   • www.ider**********cl\osa6.gif
   • www.insi**********e-tgweb.de\osa6.gif
   • www.izol**********.sk\osa6.gif
   • www.jcm-**********merican.com\osa6.gif
   • www.jeou**********hinn.com\osa6.gif
   • www.jing**********uok.com\osa6.gif
   • www.jue-**********o.com\osa6.gif
   • www.king**********ley.ch\osa6.gif
   • www.mark**********tvw.com\osa6.gif
   • www.mega**********erve.net\osa6.gif
   • www.mild**********at\osa6.gif
   • www.niko**********de\osa6.gif
   • www.niko**********mbh.com\osa6.gif
   • www.olva**********com.pe\osa6.gif
   • www.on24**********ee\osa6.gif
   • www.onli**********k.net\osa6.gif
   • www.ppm-**********lliance.de\osa6.gif
   • www.pres**********ey.ch\osa6.gif
   • www.rene**********aderc.com\osa6.gif
   • www.repl**********yu.com\osa6.gif
   • www.sach**********enbuecher.de\osa6.gif
   • www.sanj**********nyuan.com\osa6.gif
   • www.scva**********ravenswaaij.nl\osa6.gif
   • www.slov**********net.sk\osa6.gif
   • www.snsp**********oto.com\osa6.gif
   • www.soci**********taet.de\osa6.gif
   • www.soec**********.org\osa6.gif
   • www.soft**********ajor.ru\osa6.gif
   • www.solt**********.org\osa6.gif
   • www.spac**********um.biz\osa6.gif
   • www.spee**********com.home.pl\osa6.gif
   • www.spir**********t-in-steel.at\osa6.gif
   • www.spod**********n.de\osa6.gif
   • www.spor**********nf.com\osa6.gif
   • www.spy.**********z\osa6.gif
   • www.sqns**********lutions.com\osa6.gif
   • www.st-p**********ulus-bonn.dehtdocs\osa6.gif
   • www.stbs**********com.hk\osa6.gif
   • www.ster**********pharm.com\osa6.gif
   • www.stud**********nts.stir.ac.uk\osa6.gif
   • www.subs**********lanet.com\osa6.gif
   • www.sung**********dbio.com\osa6.gif
   • www.supe**********betcs.com\osa6.gif
   • www.sweb**********cz\osa6.gif
   • www.sydo**********o.com\osa6.gif
   • www.szdi**********eng.com\osa6.gif
   • www.tcic**********mpus.net\osa6.gif
   • www.tech**********i.com.cn\osa6.gif
   • www.tg-s**********ndhausen-basketball.de\osa6.gif
   • www.th-m**********tan.com\osa6.gif
   • www.thai**********ast.com\osa6.gif
   • www.thai**********enture.com\osa6.gif
   • www.thef**********nkiest.com\osa6.gif
   • www.then**********xtstep.tv\osa6.gif
   • www.thet**********xasoutfitter.com\osa6.gif
   • www.tmhc**********d1987.friko.pl\osa6.gif
   • www.tous**********ain.be\osa6.gif
   • www.trag**********.com.pt\osa6.gif
   • www.trav**********lourway.com\osa6.gif
   • www.trgd**********dobrcz.pl\osa6.gif
   • www.tria**********ex.cz\osa6.gif
   • www.trip**********onic.ch\osa6.gif
   • www.tv-m**********rina.com\osa6.gif
   • www.udc-**********assinadepecchi.it\osa6.gif
   • www.univ**********rse.sk\osa6.gif
   • www.uspo**********erchair.com\osa6.gif
   • www.uw.h**********\osa6.gif
   • www.verc**********uyssenelektro.be\osa6.gif
   • www.vet2**********h.com\osa6.gif
   • www.vini**********eloni.com\osa6.gif
   • www.vnn.**********n\osa6.gif
   • www.vnrv**********iet.ac.in\osa6.gif
   • www.vote**********fateh.com\osa6.gif
   • www.vw.p**********ess-bank.pl\osa6.gif
   • www.wamb**********.asn.au\osa6.gif
   • www.wdlp**********co.za\osa6.gif
   • www.welc**********corp.com\osa6.gif
   • www.wesa**********tproductions.com\osa6.gif
   • www.wils**********nscountry.com\osa6.gif
   • www.wind**********tar.pl\osa6.gif
   • www.wise**********industries.com\osa6.gif
   • www.wito**********d.pl\osa6.gif
   • www.womb**********and.com\osa6.gif
   • www.x-tr**********me.cz\osa6.gif
   • www.xian**********ong.net\osa6.gif
   • www.xmpi**********.com\osa6.gif
   • www.xmtd**********com\osa6.gif
   • www.xojc**********com\osa6.gif
   • www.yann**********ck-spruyt.be\osa6.gif
   • www.yaya**********ownload.com\osa6.gif
   • www.yest**********rdays.co.za\osa6.gif
   • www.yshk**********.com\osa6.gif
   • www.zaka**********cd.dp.ua\osa6.gif
   • www.zene**********oftware.com\osa6.gif
   • www.zent**********k.co.za\osa6.gif
   • www.zorb**********s.az\osa6.gif
   • www.zsbe**********sala.edu.sk\osa6.gif
ハードディスクの以下のパスにセーヴされます： %WINDIR%\_re_file.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Bagle.DE.3.A

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winshost.exe" = "%SYSDIR%\winshost.exe"

以下のレジストリ・キーの値が消えています：

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "McAfee.InstantUpdate.Monitor"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Zone Labs Client"
   • "avg7_emc"
   • "avg7_cc"
   • "KAV50"
   • "APVXDWIN"
   • "McAfee Guardian"
   • "SSC_UserPrompt"
   • "NAV CfgWiz"
   • "ccApp"
   • "Symantec NetDriver Monitor"

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • [HKLM\SOFTWARE\Zone Labs]
   • [HKLM\SOFTWARE\Panda Software]
   • [HKLM\SOFTWARE\Agnitum]
   • [HKLM\SOFTWARE\KasperskyLab]
   • [HKLM\SOFTWARE\McAfee]
   • [HKLM\SOFTWARE\Symantec]

以下のレジストリ・キーが追加されます：

– [HKCU\Software\FirstRun]
   • "FirstRunRR" = dword:00000001

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は削除されます。

改変されたホストファイルの外見は以下のようになります。

プロセス中断以下のプロセスは終了されます：
   • NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
      AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE;
      ESCANH95.EXE; AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE;
      AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE

以下のサービスは無効にされます：
   • wuauserv(Automatic updates)
   • SharedAccess(Windows Firewall/Internet Connection Sharing)
   • alerter

挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名：｜以下のうちの１つ：
   • explorer.exe

   マルウェアが試みに失敗すると、それ自身を終了させます。

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Iulian Popa によって Tue, 27 Sep 2005 13:29 (GMT+1) 書き込まれました。
この説明は Iulian Popa によって Mon, 03 Oct 2005 14:38 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back