English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Bagle.DV
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Bagle.DV - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Bagle.DV
Обнаружен:
03/11/2005
Вид:
Троянская программа
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
19.003 байт.
Контрольная сумма MD5:
d9f4515b8a0E407ad4b654c37aa4b476
Версия VDF:
6.32.00.138
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Symantec: W32.Beagle.CN@mm
• Kaspersky: Email-Worm.Win32.Bagle.ej
• TrendMicro: WORM_BAGLE.BS
• Sophos: W32/Bagle-BS
• Grisoft: I-Worm/Bagle.ID
• VirusBuster: I-Worm.Bagle.EP
• Eset: Win32/Bagle.DE
• Bitdefender: Win32.Bagle.EH@mm
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Последствия:
• Загружает вредоносные файлы
• Использует собственный почтовый движок
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\windll2.exe
Попытка загрузки следующих файлов:
– Следующие URL:
• http://clickhare.com/images/**********
• http://amerikansk-bulldog.dk/images/**********
• http://eventpeopleforyou.com/help/**********
• http://ekshrine.com/images/**********
• http://www.familia-sanchez.net/images/**********
• http://www.asymchem.com/images/**********
• http://www.baku-xeber.com/images/**********
• http://www.abmedical.pl/images/**********
• http://www.cellphonemadeinchina.com/images/**********
Сохраняется локально в:
%WINDIR%
\eml.exe На момент проверки данный файл не был доступен.
– Следующие URL:
• http://localhost/**********
• http://localhost/**********
• http://localhost/**********
Сохраняется локально в:
%SYSDIR%
\re_file.exe На момент проверки данный файл не был доступен.
Реестр
Удаляются значения следующих ключей реестра:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
• ICQ Net
• SkynetsRevenge
• KasperskyAVEng
• Norton Antivirus AV
• PandaAVEngine
• EasyAV
• SysMonXP
• MsInfo
• FirewallSvr
• Jammer2nd
• NetDy
• HtProtect
• ICQNet
• Tiny AV
• service
• Special Firewall Service
• Antivirus
• 9XHtProtect
• Zone Labs Client Ex
• My AV
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
• ICQ Net
• SkynetsRevenge
• KasperskyAVEng
• Norton Antivirus AV
• PandaAVEngine
• EasyAV
• SysMonXP
• MsInfo
• FirewallSvr
• Jammer2nd
• NetDy
• HtProtect
• ICQNet
• Tiny AV
• service
• Special Firewall Service
• Antivirus
• 9XHtProtect
• Zone Labs Client Ex
• My AV
– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
• "erthegdr"="
%SYSDIR%
\windll2.exe"
Добавляется следующий ключ реестра:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
• "erthegdr"="
%SYSDIR%
\windll2.exe"
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Тема:
Не указана тема письма.
Тело:
Тело письма имеет один из следующих видов:
• Password:
• The password is:
• info
• texte
Прикрепленный файл:
Данный файл содержит вредоносный код.
Одно из следующих имен прикрепленного файла:
• text_sms.zip
• sms_text.zip
• The_new_prices.zip
• Info_prices.zip
• Business_dealing.zip
• max.zip
• Health_and_knowledge.zip
• Business.zip
Отправка
Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
• Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
Wynefreed; Wynnefreede
Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
• @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
noreply; local; root@; postmaster@
MX Server:
Не использует стандартный MX сервер.
Обладает способностью связаться со следующим MX сервером:
• smtp.mail.ru
Завершение процесса
Попытка завершения процессов и удаления соответствующих файлов:
• 1t1epad.exe
• t1es1t.exe
Backdoor
Открывается порт:
–
%SYSDIR%
\windll2.exe по TCP порту 80 чтобы обеспечить наличие прокси-сервера.
Разное
Создаются мьютексы:
• vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
• 'D'r'o'p'p'e'd'S'k'y'N'e't'
• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
• [SkyNet.cz]SystemsMutex
• AdmSkynetJklS003
• ____--->>>>U<<<<--____
• _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Irina Boldea Mon, 29 May 2006 14:01 (GMT+1)
Описание обновлено: Irina Boldea Mon, 29 May 2006 15:53 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Bagle.DV
Print this page
.gif)
