Enciclopedia amenințării

Aliasuri: Email-Worm.Win32.Bagle.dn (Kaspersky), W32/Bagle.gen (McAfee), W32.Beagle.CG@mm (Symantec), TR/Bagle.Gen.B (Avira), W32/Bagle- AR (Sophos),

Platformă: Windows 98, ME, 2000, XP, Server 2003

Pentru a obține o privire cuprinzătoare asupra comportamentului acestui troian, consultați diagrama de comportament prezentată mai jos.

Trend Micro

Prezentare generală a programelor malware

La fel ca variantele anterioare BAGLE, acest vierme folosește o componentă troiană pentru a se propaga. Face acest lucru trimițând mesaje de e-mail care conțin copii ale TROJ_BAGLE.DA pentru a viza destinatarii utilizând propriul motor SMTP.

Astfel, utilizatorii trebuie să fie atenți la mesajele care conțin următoarele detalii:

Conținutul mesajului: (oricare dintre următoarele)
• pret nou
• Parola:
• Preț
• Parola este

Atașament: (oricare dintre următoarele fișiere .ZIP)
• 09_price.zip
• new__price.zip
• new_price.zip
• Newprice.zip
• preț.zip
• price2.zip
• preț_09.zip
• price_new.zip

(Notă: fișierul .ZIP atașat conține copia TROJ_BAGLE.DA.)

Mai jos este un exemplu de mesaj de e-mail pe care acest vierme îl trimite:

Este remarcabil, totuși, că spre deosebire de variantele anterioare în care atașamentul troian este cel care descarcă o copie a acestui vierme în sistemul afectat, TROJ_BAGLE.DA folosește un alt malware pentru a efectua această rutină. Trend Micro detectează acest alt program de descărcare ca TROJ_DLOADER.ACT.

Acest vierme previne, de asemenea, executarea viermilor NETSKY pe sistemul afectat prin crearea mai multor mutexe. Mai mult, încearcă să dezactiveze orice aplicații antivirus și de securitate instalate pe aparat prin ștergerea mai multor intrări de registru legate de aceste programe.

Acest vierme încearcă, de asemenea, să descarce anumite fișiere de pe mai multe site-uri web. Cu toate acestea, începând cu această scriere, aceste site-uri web sunt deja inaccesibile.

Pentru informații suplimentare despre această amenințare, consultați:

Descriere creată: Sept. 19, 2005 10:56:12 GMT -0800

DETALII TEHNICE

Sarcina utilă 2: Dezactivează aplicațiile antivirus și de securitate

Sarcina utilă 3: șterge cheile de registru și intrările

Starea declanșatorului 1: dacă data sistemului este mai târziu de 23 septembrie 2009

Acest vierme rezident în memorie ajunge de obicei pe un sistem ca fișier descărcat de TROJ_DLOADER.ACT. Pe de altă parte, acest troian este descărcat pe sistem de un alt malware pe care Trend Micro îl detectează ca TROJ_BAGLE.DA.

La executare, acest vierme lasă o copie a sa în folderul de sistem Windows ca fișier WINDLL2.EXE. Apoi creează următoarele chei de registru și intrări:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

HKEY_CURRENT_USER \ Software \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

HKEY_USERS \ .DEFAULT \ Software \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

(Notă:% System% este folderul de sistem Windows, care este de obicei C: \ Windows \ System pe Windows 98 și ME, C: \ WINNT \ System32 pe Windows NT și 2000 sau C: \ Windows \ System32 pe Windows XP și 2003)