Имя:Worm/Bagle.FJ
Обнаружен:04/02/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~20.000 байт.
Версия VDF:6.33.00.195

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Symantec: W32.Beagle.DN@mm
   •  Mcafee: W32/Bagle.dq@MM
   •  Kaspersky: Email-Worm.Win32.Bagle.fk
   •  TrendMicro: WORM_BAGLE.EF
   •  Bitdefender: Trojan.Downloader.Bagle.EO


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\windspl.exe



Создаются копии вредоносной программы. К файлам добавляются случайные байты. Это делает их отличными от оригинала:
   • %SYSDIR%\windspl.exeopen
   • %SYSDIR%\windspl.exeopenopen



Создается файл:

%WINDIR%\regisp32.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Bagle.FJ

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DsplObjects = %SYSDIR%\windspl.exe



Удаляются значения следующих ключей реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • Gwd: Msg reply; Gwd: Hello :-); Gwd: Yahoo!!!; Gwd: Thank you!; Gwd:
      Thanks :); Gwd: Text message; Gwd: Document; Gwd: Incoming message;
      Gwd: Incoming Message; Gwd: Incoming Msg; Gwd: Message Notify; Gwd:
      Notification; Gwd: Changes..; Gwd: Update; Gwd: Fax Message; Gwd:
      Protected message; Gwd: Protected message; Gwd: Forum notify; Gwd:
      Site changes; Gwd: Hi; Gwd: crypted document



Тело:
Тело письма имеет один из следующих видов:
   • Ok. Read the attach.
   • Ok. Your file is attached.
   • Ok. More info is in attach
   • Ok. See attach.
   • Ok. Please, have a look at the attached file.
   • Ok. Your document is attached.
   • Ok. Please, read the document.
   • Ok. Attach tells everything.
   • Ok. Attached file tells everything.
   • Ok. Check attached file for details.
   • Ok. Check attached file.
   • Ok. Pay attention at the attach.
   • Ok. See the attached file for details.
   • Ok. Message is in attach
   • Ok. Here is the file.


Прикрепленный файл:
Имена прикрепелнных файлов образуются следующим образом:

–  Начинается одним из следующих:
   • www.cumonherface
   • Details
   • XXX_livebabes
   • XXX_PornoUpdates
   • xxxporno
   • fuck_her
   • Info
   • Common
   • MoreInfo
   • Message

    Одно из следующих расширений файла:
   • .exe
   • .scr
   • .com
   • .zip
   • .vbs
   • .hta
   • .cpl



Письмо могло бы выглядеть следующим образом:



 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • @hotmail; @msn; @microsoft; rating@; f-secur; news; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      kasp; admin; icrosoft; support; ntivi; unix; bsd; linux; listserv;
      certific; sopho; @foo; @iana; free-av; @messagelab; winzip; google;
      winrar; samples; abuse; panda; cafee; spam; pgp; @avp.; noreply;
      local; root@; postmaster@

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих следующую последовательность знаков папок
   • shar

   При успешном завершении поиска создаются следующие файлы:
   • Microsoft Office 2003 Crack, Working!.exe; Microsoft Windows XP, WinXP
      Crack, working Keygen.exe; Microsoft Office XP working Crack,
      Keygen.exe; Porno, sex, oral, anal cool, awesome!!.exe; Porno
      Screensaver.scr; Serials.txt.exe; KAV 5.0; Kaspersky Antivirus 5.0;
      Porno pics arhive, xxx.exe; Windows Sourcecode update.doc.exe; Ahead
      Nero 7.exe; Windown Longhorn Beta Leak.exe; Opera 8 New!.exe; XXX
      hardcore images.exe; WinAmp 6 New!.exe; WinAmp 5 Pro Keygen Crack
      Update.exe; Adobe Photoshop 9 full.exe; Matrix 3 Revolution English
      Subtitles.exe; ACDSee 9.exe


 Backdoor Открывается порт:

– windspl.exe по TCP порту 6777 для обеспечения backdoor функции.


Устанавливает соединение с сервером
Следующий:
   • http://ijj.**********

Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.

 Разное Мьютекс:
Создаются мьютексы:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_


Строка:
Здесь содержатся следующие последовательности:
   • In a difficult world
   • In a nameless time
   • I want to survive
   • So, you will be mine!!
   • -- Bagle Author, 29.04.04, Germany.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) пятница, 10 февраля 2006 г.
Описание обновил Andrei Gherman в(о) понедельник, 13 февраля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.