TR/Bagle.GD - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Bagle.GD
発見日：	12/12/2006
タイプ	ワーム
感染報告有り	はい
感染報告	中
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	40.961 バイト
MD5　チェックサム	6acfafce6ed1cf956cec6ab1e5265d0E
IVDFファージョン：	6.37.00.07 - Tue, 12 Dec 2006 16:54 (GMT+1)

一般情報 感染方法
   • Eメール

別名
   • McAfee(マカフィー) W32/Bagle.gen
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Bagle.gt
   • F-Secure(エフ・セキュア) Email-Worm.Win32.Bagle.gt
   • Grisoft I-Worm/Bagle

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルをダウンロードします。
   • 悪意ファイルをダウンロードします。
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

実行後、それは以下のウインドウを表示するアプリケーションを開始します：

ファイルそれ自体を以下の場所にコピーします。
   • %home%\Application Data\hidn\hldrrr.exe
   • %home%\Application Data\hidn\hidn.exe

以下の場所にあるアーカイブ内にそれ自身をコピーします：
   • c:\temp.zip

以下のファイルが作成されます：

– c:\error.txt これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • Text decoding error.

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://ceramax.co.kr/**********
   • http://prime.gushi.org/**********
   • http://www.chapisteriadaniel.com/**********
   • http://charlesspaans.com/**********
   • http://chatsk.wz.cz/**********
   • http://www.chittychat.com/**********
   • http://checkalertusa.com/**********
   • http://cibernegocios.com.ar/**********
   • http://5050clothing.com/**********
   • http://cof666.shockonline.net/**********
   • http://comaxtechnologies.net/**********
   • http://concellodesandias.com/**********
   • http://www.cort.ru/**********
   • http://donchef.com/**********
   • http://www.crfj.com/**********
   • http://kremz.ru/**********
   • http://dev.jintek.com/**********
   • http://foxvcoin.com/**********
   • http://uwua132.org/**********
   • http://v-v-kopretiny.ic.cz/**********
   • http://erich-kaestner-schule-donaueschingen.de/**********
   • http://vanvakfi.com/**********
   • http://axelero.hu/**********
   • http://kisalfold.com/**********
   • http://vega-sps.com/**********
   • http://vidus.ru/**********
   • http://viralstrategies.com/**********
   • http://svatba.viskot.cz/**********
   • http://Vivamodelhobby.com/**********
   • http://vkinfotech.com/**********
   • http://vytukas.com/**********
   • http://waisenhaus-kenya.ch/**********
   • http://watsrisuphan.org/**********
   • http://www.ag.ohio-state.edu/**********
   • http://wbecanada.com/**********
   • http://calamarco.com/**********
   • http://vproinc.com/**********
   • http://grupdogus.de/**********
   • http://knickimbit.de/**********
   • http://dogoodesign.ch/**********
   • http://systemforex.de/**********
   • http://zebrachina.net/**********
   • http://www.walsch.de/**********
   • http://hotchillishop.de/**********
   • http://innovation.ojom.net/**********
   • http://massgroup.de/**********
   • http://web-comp.hu/**********
   • http://webfull.com/**********
   • http://welvo.com/**********
   • http://www.ag.ohio-state.edu/**********
   • http://poliklinika-vajnorska.sk/**********
   • http://wvpilots.org/**********
   • http://www.kersten.de/**********
   • http://www.kljbwadersloh.de/**********
   • http://www.voov.de/**********
   • http://www.wchat.cz/**********
   • http://www.wg-aufbau-bautzen.de/**********
   • http://www.wzhuate.com/**********
   • http://zsnabreznaknm.sk/**********
   • http://xotravel.ru/**********
   • http://ilikesimple.com/**********
   • http://yeniguntugla.com/**********
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\re_file.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Bagle.Gen.B

– 場所は以下の通りです：
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********
ハードディスクの以下のパスにセーヴされます： %WINDIR%\elist.xpt

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • drv_st_key = %home%\Application Data\hidn\hidn2.exe

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

以下のレジストリ・キーが追加されます：

– [HKCU\Software\FirstRun]
   • FirstRun = 1

以下のレジストリ・キーは変更されます：

ウインドウズ XPのＦｉｒｅｗａｌｌ（防火壁）を無効にする:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   前の値
   • Start = %ユーザ設定%
   新しい値
   • Start = 4

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。
インターネットで収集されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。

宛先:
– システム内のあるファイルにあるメールアドレス
– インターネットで収集されたアドレス

件名
以下のもの：
   • pric %現在の日付%
   • price_ %現在の日付%
   • price_%現在の日付%
   • price-%現在の日付%
   • price %現在の日付%

本文
– 本文は空欄です。

添付ファイル
添付ファイルの名前は：
   • price%現在の日付%.zip
   • new_price%現在の日付%.zip
   • latest_price%現在の日付%.zip

添付ファイルはそのマルウェアのコピーを含むアーカイブです。

メールは以下のようなものです：

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp

アドレスの収集
以下のウェブサイトに接続してアドレスを収集します：
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********

アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
   • rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
      gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Fri, 05 Oct 2007 12:39 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 05 Oct 2007 13:05 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る