Енциклопедія загроз

Псевдоніми: Email-Worm.Win32.Bagle.dn (Касперський), W32/Bagle.gen (McAfee), W32.Beagle.CG@mm (Symantec), TR/Bagle.Gen.B (Avira), W32/Bagle- AR (Софос),

Платформа: Windows 98, ME, 2000, XP, Server 2003

Щоб отримати всебічне уявлення про поведінку цього трояна, зверніться до Діаграми поведінки, показаної нижче.

загроз

Огляд шкідливого програмного забезпечення

Як і попередні варіанти BAGLE, цей черв'як використовує троянський компонент для розповсюдження. Він робить це, розсилаючи повідомлення електронної пошти, що містять копії TROJ_BAGLE.DA, цільовим одержувачам за допомогою власного механізму SMTP.

Таким чином, користувачі повинні з обережністю ставитись до повідомлень, що містять такі деталі:

Тіло повідомлення: (будь-що з наведеного нижче)
• нова ціна
• Пароль:
• ціна
• Пароль:

Вкладення: (будь-який із наступних .ZIP-файлів)
• 09_price.zip
• new__price.zip
• new_price.zip
• Newprice.zip
• price.zip
• price2.zip
• price_09.zip
• price_new.zip

(Примітка: Вкладений файл .ZIP містить копію TROJ_BAGLE.DA.)

Нижче наведено зразок електронного повідомлення, яке цей черв’як розсилає:

Однак примітно, що на відміну від попередніх варіантів, де вкладений файл троянський завантажує копію цього хробака в уражену систему, TROJ_BAGLE.DA використовує інше шкідливе програмне забезпечення для виконання цієї процедури. Trend Micro виявляє цей інший завантажувач як TROJ_DLOADER.ACT.

Цей черв'як також запобігає виконанню черв'яків NETSKY на ураженій системі шляхом створення декількох мьютексів. Крім того, він намагається вимкнути будь-які антивірусні програми та програми безпеки, встановлені на комп'ютері, видаляючи кілька записів реєстру, пов'язаних з цими програмами.

Цей хробак також намагається завантажити певні файли з кількох веб-сайтів. Однак на момент написання цієї статті ці веб-сайти вже недоступні.

Для отримання додаткової інформації про цю загрозу див .:

Опис створено: 19 вересня 2005 р. 10:56:12 GMT -0800

ТЕХНІЧНІ ДЕТАЛІ

Корисне навантаження 2: вимикає антивірусні програми та програми безпеки

Корисне навантаження 3: Видаляє ключі та записи реєстру

Умова тригера 1: якщо системна дата пізніше 23 вересня 2009 р

Цей черв'як, який постійно перебуває в пам'яті, зазвичай надходить у систему як завантажений файл TROJ_DLOADER.ACT. Натомість цей троянець завантажується в систему іншим шкідливим програмним забезпеченням, яке Trend Micro виявляє як TROJ_BAGLE.DA.

Після запуску цей хробак видає копію себе в системну папку Windows як файл WINDLL2.EXE. Потім він створює такі ключі та записи реєстру:

HKEY_LOCAL_MACHINE \ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

HKEY_CURRENT_USER \ Software \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

HKEY_USERS \ .DEFAULT \ Software \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

(Примітка:% System% - це системна папка Windows, яка зазвичай є C: \ Windows \ System у Windows 98 та ME, C: \ WINNT \ System32 у Windows NT та 2000 або C: \ Windows \ System32 у Windows XP та 2003.)