Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Bagle.FJ
Data em que surgiu:04/02/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~20.000 Bytes
Versão VDF:6.33.00.195

 Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer


Alias:
   •  Symantec: W32.Beagle.DN@mm
   •  Mcafee: W32/Bagle.dq@MM
   •  Kaspersky: Email-Worm.Win32.Bagle.fk
   •  TrendMicro: WORM_BAGLE.EF
   •  Bitdefender: Trojan.Downloader.Bagle.EO


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\windspl.exe



Copia-se a si próprio para as seguintes localizações. São adicionados caracteres aleatórios no final dos ficheiros para serem diferentes dos originais.
   • %SYSDIR%\windspl.exeopen
   • %SYSDIR%\windspl.exeopenopen



É criado o seguinte ficheiro:

%WINDIR%\regisp32.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Bagle.FJ

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DsplObjects = %SYSDIR%\windspl.exe



Os valores das seguintes chaves registo do windows são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • Gwd: Msg reply; Gwd: Hello :-); Gwd: Yahoo!!!; Gwd: Thank you!; Gwd:
      Thanks :); Gwd: Text message; Gwd: Document; Gwd: Incoming message;
      Gwd: Incoming Message; Gwd: Incoming Msg; Gwd: Message Notify; Gwd:
      Notification; Gwd: Changes..; Gwd: Update; Gwd: Fax Message; Gwd:
      Protected message; Gwd: Protected message; Gwd: Forum notify; Gwd:
      Site changes; Gwd: Hi; Gwd: crypted document



Corpo:
O corpo do email tem uma das seguintes linhas:
   • Ok. Read the attach.
   • Ok. Your file is attached.
   • Ok. More info is in attach
   • Ok. See attach.
   • Ok. Please, have a look at the attached file.
   • Ok. Your document is attached.
   • Ok. Please, read the document.
   • Ok. Attach tells everything.
   • Ok. Attached file tells everything.
   • Ok. Check attached file for details.
   • Ok. Check attached file.
   • Ok. Pay attention at the attach.
   • Ok. See the attached file for details.
   • Ok. Message is in attach
   • Ok. Here is the file.


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • www.cumonherface
   • Details
   • XXX_livebabes
   • XXX_PornoUpdates
   • xxxporno
   • fuck_her
   • Info
   • Common
   • MoreInfo
   • Message

    A extensão do ficheiro é uma das seguintes:
   • .exe
   • .scr
   • .com
   • .zip
   • .vbs
   • .hta
   • .cpl



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • @hotmail; @msn; @microsoft; rating@; f-secur; news; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      kasp; admin; icrosoft; support; ntivi; unix; bsd; linux; listserv;
      certific; sopho; @foo; @iana; free-av; @messagelab; winzip; google;
      winrar; samples; abuse; panda; cafee; spam; pgp; @avp.; noreply;
      local; root@; postmaster@

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


   Procura directórios com o seguinte texto:
   • shar

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • Microsoft Office 2003 Crack, Working!.exe; Microsoft Windows XP, WinXP
      Crack, working Keygen.exe; Microsoft Office XP working Crack,
      Keygen.exe; Porno, sex, oral, anal cool, awesome!!.exe; Porno
      Screensaver.scr; Serials.txt.exe; KAV 5.0; Kaspersky Antivirus 5.0;
      Porno pics arhive, xxx.exe; Windows Sourcecode update.doc.exe; Ahead
      Nero 7.exe; Windown Longhorn Beta Leak.exe; Opera 8 New!.exe; XXX
      hardcore images.exe; WinAmp 6 New!.exe; WinAmp 5 Pro Keygen Crack
      Update.exe; Adobe Photoshop 9 full.exe; Matrix 3 Revolution English
      Subtitles.exe; ACDSee 9.exe


 Backdoor É aberta a seguinte porta:

– windspl.exe numa porta TCP 6777 Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguinte:
   • http://ijj.**********

Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware

 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_


Texto:
Além disso contém os seguintes blocos de texto:
   • In a difficult world
   • In a nameless time
   • I want to survive
   • So, you will be mine!!
   • -- Bagle Author, 29.04.04, Germany.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 10 de fevereiro de 2006
Descrição atualizada por Andrei Gherman em segunda-feira, 13 de fevereiro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.