VírusTR/Bagle.95027
Data em que surgiu:03/11/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:95.027 Bytes
MD5 checksum:e483e6456eb99c156fb36e5de6df9c03
Versão IVDF:7.01.06.185 - terça-feira, 3 de novembro de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Bagle.gen virus
   •  Sophos: Mal/Behav-191
   •  Panda: W32/Bagle.RC.worm
   •  Eset: Win32/Bagle.TK
   •  Bitdefender: Win32.Bagle.SUQ@mm


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %HOME%\Application Data\m\flec006.exe




Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://pose-service.com/1/**********
   • http://ip-kamery.com/1/**********
   • http://hot-chilli-shop.de/1/**********
   • http://www.sabasahar.com/1/**********
   • http://techart.ncompany.org/1/**********
   • http://rosengarten.webtar.hu/1/**********
   • http://www.desarroya.net/1/**********
   • http://cbhbooks.com/1/**********
   • http://ruralpoint.com/1/**********
   • http://compoundbtl.com/1/**********
   • http://bierpub.de/1/**********
   • http://checiny.pl/1/**********
   • http://1dim-giann.pel.sch.gr/1/**********
   • http://barpini.ch/1/**********
   • http://construction-barascud.com/1/**********
   • http://hoj-design.dk/1/**********
Ainda em fase de pesquisa.

– A partir das seguintes localizações:
   • http://jsahagung.110mb.com/**********
   • http://www.copymobil.de/**********
   • http://www.ecolubkiss.hu/**********
Ainda em fase de pesquisa.

– A partir das seguintes localizações:
   • http://refreshcreative.sk/1/**********
   • http://pose-service.com/1/**********
   • http://www.sabasahar.com/1/**********
   • http://tallercero.com/1/**********
   • http://rosengarten.webtar.hu/1/**********
   • http://www.enzo.pl/1/**********
   • http://barpini.ch/1/**********
   • http://1insider1.1i.funpic.de/1/**********
   • http://idealabs.tv/1/**********
   • http://compoundbtl.com/1/**********
   • http://techart.ncompany.org/1/**********
   • http://1dim-giann.pel.sch.gr/1/**********
   • http://www.desarroya.net/1/**********
   • http://ip-kamery.com/1/**********
   • http://construction-barascud.com/1/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.copymobil.de/**********?page=404
Ainda em fase de pesquisa.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mule_st_key"="%home%\Application Data\m\flec006.exe"

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 4 de março de 2010
Descrição atualizada por Petre Galan em quinta-feira, 4 de março de 2010

Voltar . . . .