Полное описание

Имя:	TR/Drop.Bagle.FR
Обнаружен:	15/02/2006
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	~27.000 байт.
Версия VDF:	6.33.00.232

Общее Методы распространения:
   • Email
   • Одноранговая сеть

Псевдонимы (аliases):
   • Symantec: W32.Beagle.DS@mm
   • Mcafee: W32/Sality.o
   • Kaspersky: Email-Worm.Win32.Bagle.ae
   • TrendMicro: WORM_BAGLE.EW
   • Sophos: W32/Bagle-CO
   • Panda: W32/Bagle.HC.worm
   • Bitdefender: Win32.Bagle.FJ@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

После запуска выдается следующая информация:

Файлы Создается собственная копия:
   • %SYSDIR%\lmovie.exe

Создаются копии вредоносной программы. К файлам добавляются случайные байты. Это делает их отличными от оригинала:
   • %SYSDIR%\lmovie.exeopen
   • %SYSDIR%\lmovie.exeopenopen

Создается файл:

– %WINDIR%\rvcualts32.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Tr/Dldr.Bagle.FR

Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MovieM = %SYSDIR%\lmovie.exe

Удаляются значения следующих ключей реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • 9XHtProtect
   • Antivirus
   • EasyAV
   • FirewallSvr
   • HtProtect
   • ICQ Net
   • ICQNet
   • Jammer2nd
   • KasperskyAVEng
   • MsInfo
   • My AV
   • NetDy
   • Norton Antivirus AV
   • PandaAVEngine
   • service
   • SkynetsRevenge
   • Special Firewall Service
   • SysMonXP
   • Tiny AV
   • Zone Labs Client Ex

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • 9XHtProtect
   • Antivirus
   • EasyAV
   • FirewallSvr
   • HtProtect
   • ICQ Net
   • ICQNet
   • Jammer2nd
   • KasperskyAVEng
   • MsInfo
   • My AV
   • NetDy
   • Norton Antivirus AV
   • PandaAVEngine
   • service
   • SkynetsRevenge
   • Special Firewall Service
   • SysMonXP
   • Tiny AV
   • Zone Labs Client Ex

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Одно из следующих:
   • Come Be With Me, my Love!
   • Love you with all my heart!
   • My dream is coming true!
   • See you tonight!
   • Will You Be My Valentine?

Тело:
– Содержит HTML код.
Тело письма имеет один из следующих видов:

   • Click to attachment to load a picture
Love at the lips was touch
As sweet as I could bear;
And once that seemed too much;
I lived on air

That crossed me from sweet things,
The flow of - was it musk
From hidden grapevine springs
Down hill at dusk?

I had the swirl and ache
From sprays of honeysuckle
That when they re gathered shake
Dew on the knuckle.

I craved strong sweets, but those
Seemed strong when I was young;
The petal of the rose
It was that stung.

Now no joy but lacks salt
That is not dashed with pain
And weariness and fault;
I crave the stain

Of tears, the aftermark
Of almost too much love,
The sweet of bitter bark
And burning clove.

When stiff and sore and scarred
I take away my hand
From leaning on it hard
In grass and sand

The hurt is not enough:
I long for weight and strength
To feel the earth as rough
To all my length.





   • Click to attachment to load a movie
I woke up in a white room
with white lace curtains.
Snow covered landscape;
I’m in Memphis for certain

Yesterday, it took over three hours
just to travel the last twenty miles.
But nothing is like my wife’s family
always being greeted with smiles

I was hoping for a White Christmas.
You’d be surprise how simple I am.
Be careful what you wish for
God may be listening to your plan.

Most of the nation is covered
with that dangerous and beautiful thing
I am grateful for arriving safely
for my wife’s happiness is everything.

She wanted to see her family,
her father, uncles and aunts.
I ve kept her in Southwest Texas too long;
this trip I most willingly grant.

So, here we are now
in a snowy southern wonderland.
Waiting for Christmas dinner to come;
a present only my wife can understand




   • Execute attachment to load a movie
A stranger came to the door at eve,
And he spoke the bridegroom fair.
He bore a green-white stick in his hand,
And, for all burden, care.
He asked with the eyes more than the lips
For a shelter for the night,
And he turned and looked at the road afar
Without a window light.

The bridegroom came forth into the porch
With, "Let us look at the sky,
And question what of the night to be,
Stranger, you and I.
"The woodbine leaves littered the yard,
The woodbine berries were blue,
Autumn, yes, winter was in the wind;
"Stranger, I wish I knew."

Within, the bride in the dusk alone
Bent over the open fire,
Her face rose-red with the glowing coal
And the thought of the heart's desire.
The bridegroom looked at the weary road,
Yet saw but her within,
And wished her heart in a case of gold
And pinned with a silver pin.

The bridegroom thought it little to give
A dole of bread, a purse,
A heartfelt prayer for the poor of God,
Or for the rich a curse;
But whether or not a man was asked
To mar the love of two
by harboring woe in the bridal house,
The bridegroom wished he knew.




Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • love_me.exe
   • love_me_now.exe
   • mplay.exe

Письмо могло бы выглядеть следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • @hotmail; @msn; @microsoft; rating@; f-secur; news; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      kasp; admin; icrosoft; support; ntivi; unix; bsd; linux; listserv;
      certific; sopho; @foo; @iana; free-av; @messagelab; winzip; google;
      winrar; samples; abuse; panda; cafee; spam; pgp; @avp.; noreply;
      local; root@; postmaster@

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих следующую последовательность знаков папок
   • shar

   При успешном завершении поиска создаются следующие файлы:
   • anna benson sex video.exe; kate beckinsale nude pictures.exe; jenna
      elfman sex anal deepthroat; miss america Porno, sex, oral, anal cool,
      awesome!!.exe; Porno Screensaver.scr; Serials.txt.exe; barrett jackson
      nude photos, movies, porn video.exe; Britney Spears sex photos.exe;
      paris hilton Porno pics arhive, xxx.exe; Windows Sourcecode
      update.doc.exe; Ahead Nero 10.exe; Windown Vista Beta Leak.exe; IE
      beta 7.exe; Serials 2005 database.exe; XXX hardcore images.exe; Adobe
      Photoshop 9 full.exe

   Файлы являются копиями потенциально опасной программы

Backdoor Открывается порт:

– lmovie.exe по TCP порту 6777 для обеспечения backdoor функции.

Устанавливает соединение с сервером
Следующий:
• http://ijj.**********

Это происходит с помощью HTTP GET запроса PHP скрипта.

Передает информацию о:
• Текущий malware статус.

Разное Мьютекс:
Создаются мьютексы:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ivanes в(о) среда, 15 февраля 2006 г.
Описание обновил Andrei Ivanes в(о) вторник, 28 февраля 2006 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты