TR/Bagle.DV - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Bagle.DV
Data em que surgiu:	03/11/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	19.003 Bytes
MD5 checksum:	d9f4515b8a0E407ad4b654c37aa4b476
Versão VDF:	6.32.00.138

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: W32.Beagle.CN@mm
   • Kaspersky: Email-Worm.Win32.Bagle.ej
   • TrendMicro: WORM_BAGLE.BS
   • Sophos: W32/Bagle-BS
   • Grisoft: I-Worm/Bagle.ID
   • VirusBuster: I-Worm.Bagle.EP
   • Eset: Win32/Bagle.DE
   • Bitdefender: Win32.Bagle.EH@mm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\windll2.exe

Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://ekshrine.com/images/**********
   • http://www.familia-sanchez.net/images/**********
   • http://www.asymchem.com/images/**********
   • http://www.baku-xeber.com/images/**********
   • http://www.abmedical.pl/images/**********
   • http://www.cellphonemadeinchina.com/images/**********
Encontra-se no disco rígido: %WINDIR%\eml.exe Ainda em fase de pesquisa.

– A partir das seguintes localizações:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
Encontra-se no disco rígido: %SYSDIR%\re_file.exe Ainda em fase de pesquisa.

Registry (Registo do Windows) Os valores das seguintes chaves registo do windows são eliminados:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"

É adicionada a seguinte chave de registo:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Assunto:
O assunto não contém texto.

Corpo:
O corpo do email tem uma das seguintes linhas:
   • Password:
   • The password is:
   • info
   • texte

Atalho:
O conteúdo do ficheiro não é uma cópia de si próprio mas de outro malware.

O ficheiro de atalho tem um dos seguintes nomes:
   • text_sms.zip
   • sms_text.zip
   • The_new_prices.zip
   • Info_prices.zip
   • Business_dealing.zip
   • max.zip
   • Health_and_knowledge.zip
   • Business.zip

Mailing Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
      Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
      Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
      Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
      Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
      Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
      Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
      James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
      Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
      Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
      Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
      Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
      Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
      Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
      Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
      Wynefreed; Wynnefreede

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@

MX Server:
Não usa o servidor de MX standard.
Tem capacidade para contactar o servidor MX:
   • smtp.mail.ru

Terminar o processo Tenta terminar os seguintes processos e apaga os ficheiros correspondentes:
• 1t1epad.exe
• t1es1t.exe

Backdoor É aberta a seguinte porta:

– %SYSDIR%\windll2.exe numa porta TCP 80 de forma a fornecer um servidor proxy.

Informações diversas Cria os seguintes Mutexes:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Irina Boldea em Mon, 29 May 2006 14:01 (GMT+1)
Descrição adicionada por Irina Boldea em Mon, 29 May 2006 15:53 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back