English
Deutsch
Français
Español
Italiano
Home
Virus Info
TR/Bagle.GD
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Bagle.GD - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Bagle.GD
Обнаружен:
12/12/2006
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Средний
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
40.961 байт.
Контрольная сумма MD5:
6acfafce6ed1cf956cec6ab1e5265d0E
Версия IVDF:
6.37.00.07
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Mcafee: W32/Bagle.gen
• Kaspersky: Email-Worm.Win32.Bagle.gt
• F-Secure: Email-Worm.Win32.Bagle.gt
• Grisoft: I-Worm/Bagle
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Загружает вредоносные файлы
• Использует собственный почтовый движок
• Снижает уровень настроек безопасности
• Изменение реестра
После активации запускается Windows приложение. При этом отображается следующее окно:
Файлы
Создаются собственные копии:
•
%home%
\Application Data\hidn\hldrrr.exe
•
%home%
\Application Data\hidn\hidn.exe
Создается архив со своей собственной копией внутри:
• c:\temp.zip
Создается файл:
– c:\error.txt Файл является безвредным текстовым файлом со следующим содержимым:
• Text decoding error.
Попытка загрузки следующих файлов:
– Следующие URL:
• http://ceramax.co.kr/**********
• http://prime.gushi.org/**********
• http://www.chapisteriadaniel.com/**********
• http://charlesspaans.com/**********
• http://chatsk.wz.cz/**********
• http://www.chittychat.com/**********
• http://checkalertusa.com/**********
• http://cibernegocios.com.ar/**********
• http://5050clothing.com/**********
• http://cof666.shockonline.net/**********
• http://comaxtechnologies.net/**********
• http://concellodesandias.com/**********
• http://www.cort.ru/**********
• http://donchef.com/**********
• http://www.crfj.com/**********
• http://kremz.ru/**********
• http://dev.jintek.com/**********
• http://foxvcoin.com/**********
• http://uwua132.org/**********
• http://v-v-kopretiny.ic.cz/**********
• http://erich-kaestner-schule-donaueschingen.de/**********
• http://vanvakfi.com/**********
• http://axelero.hu/**********
• http://kisalfold.com/**********
• http://vega-sps.com/**********
• http://vidus.ru/**********
• http://viralstrategies.com/**********
• http://svatba.viskot.cz/**********
• http://Vivamodelhobby.com/**********
• http://vkinfotech.com/**********
• http://vytukas.com/**********
• http://waisenhaus-kenya.ch/**********
• http://watsrisuphan.org/**********
• http://www.ag.ohio-state.edu/**********
• http://wbecanada.com/**********
• http://calamarco.com/**********
• http://vproinc.com/**********
• http://grupdogus.de/**********
• http://knickimbit.de/**********
• http://dogoodesign.ch/**********
• http://systemforex.de/**********
• http://zebrachina.net/**********
• http://www.walsch.de/**********
• http://hotchillishop.de/**********
• http://innovation.ojom.net/**********
• http://massgroup.de/**********
• http://web-comp.hu/**********
• http://webfull.com/**********
• http://welvo.com/**********
• http://www.ag.ohio-state.edu/**********
• http://poliklinika-vajnorska.sk/**********
• http://wvpilots.org/**********
• http://www.kersten.de/**********
• http://www.kljbwadersloh.de/**********
• http://www.voov.de/**********
• http://www.wchat.cz/**********
• http://www.wg-aufbau-bautzen.de/**********
• http://www.wzhuate.com/**********
• http://zsnabreznaknm.sk/**********
• http://xotravel.ru/**********
• http://ilikesimple.com/**********
• http://yeniguntugla.com/**********
Сохраняется локально в:
%SYSDIR%
\re_file.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как:
TR/Bagle.Gen.B
– Следующие URL:
• http://www.titanmotors.com/images/1/**********
• http://veranmaisala.com/1/**********
• http://wklight.nazwa.pl/1/**********
• http://yongsan24.co.kr/1/**********
• http://accesible.cl/1/**********
• http://hotelesalba.com/1/**********
• http://amdlady.com/1/**********
• http://inca.dnetsolution.net/1/**********
• http://www.auraura.com/1/**********
• http://avataresgratis.com/1/**********
• http://beyoglu.com.tr/1/**********
• http://brandshock.com/1/**********
• http://www.buydigital.co.kr/1/**********
• http://camaramafra.sc.gov.br/1/**********
• http://camposequipamentos.com.br/1/**********
• http://cbradio.sos.pl/1/**********
• http://c-d-c.com.au/1/**********
• http://www.klanpl.com/1/**********
• http://coparefrescos.stantonstreetgroup.com/1/**********
• http://creainspire.com/1/**********
• http://desenjoi.com.br/1/**********
• http://www.inprofile.gr/1/**********
• http://www.diem.cl/1/**********
• http://www.discotecapuzzle.com/1/**********
Сохраняется локально в:
%WINDIR%
\elist.xpt
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key =
%home%
\Application Data\hidn\hidn2.exe
Удаляются все значения следующего ключа реестра и его подключей:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Добавляется следующий ключ реестра:
– [HKCU\Software\FirstRun]
• FirstRun = 1
Изменяется следующий ключ реестра:
Отключение Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Прежнее значение:
• Start =
%Настройки пользователя%
Новое значение:
• Start = 4
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Собранные в Интернет адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Собранные в Интернете адреса.
Тема:
Одно из следующих:
• pric
%актуальная дата%
• price_
%актуальная дата%
• price_
%актуальная дата%
• price-
%актуальная дата%
• price
%актуальная дата%
Тело:
– Пустой текст письма.
Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
• price
%актуальная дата%
.zip
• new_price
%актуальная дата%
.zip
• latest_price
%актуальная дата%
.zip
Прикрепленный архивный файл содержит копию потенциально опасной программы.
Письмо выглядит следующим образом:
Отправка
Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
• .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
.nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
.oft; .uin; .cgi; .mht; .dhtm; .jsp
Сбор адресов:
Сбор адресов путем контакта следующих вебсайтов:
• http://www.titanmotors.com/images/1/**********
• http://veranmaisala.com/1/**********
• http://wklight.nazwa.pl/1/**********
• http://yongsan24.co.kr/1/**********
• http://accesible.cl/1/**********
• http://hotelesalba.com/1/**********
• http://amdlady.com/1/**********
• http://inca.dnetsolution.net/1/**********
• http://www.auraura.com/1/**********
• http://avataresgratis.com/1/**********
• http://beyoglu.com.tr/1/**********
• http://brandshock.com/1/**********
• http://www.buydigital.co.kr/1/**********
• http://camaramafra.sc.gov.br/1/**********
• http://camposequipamentos.com.br/1/**********
• http://cbradio.sos.pl/1/**********
• http://c-d-c.com.au/1/**********
• http://www.klanpl.com/1/**********
• http://coparefrescos.stantonstreetgroup.com/1/**********
• http://creainspire.com/1/**********
• http://desenjoi.com.br/1/**********
• http://www.inprofile.gr/1/**********
• http://www.diem.cl/1/**********
• http://www.discotecapuzzle.com/1/**********
Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
• rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
@iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Fri, 05 Oct 2007 12:39 (GMT+1)
Описание обновлено: Andrei Gherman Fri, 05 Oct 2007 13:05 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info TR/Bagle.GD
Print this page
.gif)
