VírusTR/Bagle.GD
Data em que surgiu:12/12/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:40.961 Bytes
MD5 checksum:6acfafce6ed1cf956cec6ab1e5265d0E
Versão IVDF:6.37.00.07 - terça-feira, 12 de dezembro de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Bagle.gen
   •  Kaspersky: Email-Worm.Win32.Bagle.gt
   •  F-Secure: Email-Worm.Win32.Bagle.gt
   •  Grisoft: I-Worm/Bagle


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para as seguintes localizações
   • %APPDATA%\hidn\hldrrr.exe
   • %APPDATA%\hidn\hidn.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • c:\temp.zip



É criado o seguinte ficheiro:

– c:\error.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Text decoding error.




Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://ceramax.co.kr/**********
   • http://prime.gushi.org/**********
   • http://www.chapisteriadaniel.com/**********
   • http://charlesspaans.com/**********
   • http://chatsk.wz.cz/**********
   • http://www.chittychat.com/**********
   • http://checkalertusa.com/**********
   • http://cibernegocios.com.ar/**********
   • http://5050clothing.com/**********
   • http://cof666.shockonline.net/**********
   • http://comaxtechnologies.net/**********
   • http://concellodesandias.com/**********
   • http://www.cort.ru/**********
   • http://donchef.com/**********
   • http://www.crfj.com/**********
   • http://kremz.ru/**********
   • http://dev.jintek.com/**********
   • http://foxvcoin.com/**********
   • http://uwua132.org/**********
   • http://v-v-kopretiny.ic.cz/**********
   • http://erich-kaestner-schule-donaueschingen.de/**********
   • http://vanvakfi.com/**********
   • http://axelero.hu/**********
   • http://kisalfold.com/**********
   • http://vega-sps.com/**********
   • http://vidus.ru/**********
   • http://viralstrategies.com/**********
   • http://svatba.viskot.cz/**********
   • http://Vivamodelhobby.com/**********
   • http://vkinfotech.com/**********
   • http://vytukas.com/**********
   • http://waisenhaus-kenya.ch/**********
   • http://watsrisuphan.org/**********
   • http://www.ag.ohio-state.edu/**********
   • http://wbecanada.com/**********
   • http://calamarco.com/**********
   • http://vproinc.com/**********
   • http://grupdogus.de/**********
   • http://knickimbit.de/**********
   • http://dogoodesign.ch/**********
   • http://systemforex.de/**********
   • http://zebrachina.net/**********
   • http://www.walsch.de/**********
   • http://hotchillishop.de/**********
   • http://innovation.ojom.net/**********
   • http://massgroup.de/**********
   • http://web-comp.hu/**********
   • http://webfull.com/**********
   • http://welvo.com/**********
   • http://www.ag.ohio-state.edu/**********
   • http://poliklinika-vajnorska.sk/**********
   • http://wvpilots.org/**********
   • http://www.kersten.de/**********
   • http://www.kljbwadersloh.de/**********
   • http://www.voov.de/**********
   • http://www.wchat.cz/**********
   • http://www.wg-aufbau-bautzen.de/**********
   • http://www.wzhuate.com/**********
   • http://zsnabreznaknm.sk/**********
   • http://xotravel.ru/**********
   • http://ilikesimple.com/**********
   • http://yeniguntugla.com/**********
Encontra-se no disco rígido: %SYSDIR%\re_file.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Bagle.Gen.B


– A partir das seguintes localizações:
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********
Encontra-se no disco rígido: %WINDIR%\elist.xpt

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • drv_st_key = %APPDATA%\hidn\hidn2.exe



A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



É adicionada a seguinte chave de registo:

– [HKCU\Software\FirstRun]
   • FirstRun = 1



O seguinte valor do registo é alterado:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • Start = %definições do utilizador %
   Valor recente:
   • Start = 4

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
Endereços recolhidos na internet. Por favor não assuma que era intenção do remetente enviar este e-mail para si. Ele pode não saber que tem o computador infectado ou pode mesmo nem estar infectado. Além disso é possível que receba e-mails indicando que em


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços recolhidos na internet:


Assunto:
Um dos seguintes:
   • pric %data actual%
   • price_ %data actual%
   • price_%data actual%
   • price-%data actual%
   • price %data actual%



Corpo:
–  O corpo não tem texto.


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • price%data actual%.zip
   • new_price%data actual%.zip
   • latest_price%data actual%.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Endereços recolhidos:
Recolhe endereços contactando os Web sites seguintes:
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
      gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 5 de outubro de 2007
Descrição atualizada por Andrei Gherman em sexta-feira, 5 de outubro de 2007

Voltar . . . .