Security Lab

Trojan-Downloader. Win32.Bagle.h

Trojan-Downloader. Win32.Bagle.h

Первоначально программа была разослана при помощи спам рассылки.

Первоначально программа была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 9742 байта. Написана на языке С++.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После своего запуска троянец копирует себя в системный каталог Windows c именем anti_troj.exe:

%System%\anti_troj.exe

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "anti_troj"="%System%\anti_troj.exe"

А также создает раздел:

  
  [HKCU\Software\FirstRRRun]

В этот раздел программа записывает параметр: 

  "FirstRRRun"=1

Этот параметр служит для определения повторного запуска трояна в системе. Если данный параметр отсутствует в реестре, т.е. программа запущена впервые, то троянец показывает картинку ntimage.gif (находящуюся в каталоге %System% ):

Также троянец создает в корневом каталоге Windows папку с именем exefld: 

  %Windir%/exefld/

Деструктивная активность

Троянец проверяет наличие подключения к интернету и, если таковое присутствует, пытается скачать файл со следующих серверов: 

  202.44.52.38
  209.126.128.203
  25kadr.org
  65.108.195.73
  80.146.233.41
  abtechsafety.com
  abtechsafety.com
  acentrum.pl
  adavenue.net
  adoptionscanada.ca
  adventecgroup.com
  agenciaspublicidadinternet.com
  ahava.cafe24.com
  aibsnlea.org
  aikidan.com
  ala-bg.net
  alevibirligi.ch
  alfaclassic.sk
  allanconi.it
  allinfo.com.au
  americasenergyco.com
  amerykaameryka.com
  amistra.com
  analisisyconsultoria.com
  calamarco.com
  ccooaytomadrid.org
  charlies-truckerpage.de
  drinkwater.ru
  eleceltek.com
  furdoszoba.info
  kepter.kz
  mijusungdo.net
  oklens.co.jp
  phrmg.org
  s89.tku.edu.tw
  sacafterdark.net
  template.nease.net
  tkdami.net
  virt33.kei.pl
  www.8ingatlan.hu
  www.a2zhostings.com
  www.abavitis.hu
  www.adamant-np.ru
  www.agroturystyka.artneo.pl
  www.americarising.com
  www.barth.serwery.pl
  www.bmswijndepot.com
  www.etwas-mode.de
  www.leap.co.il
  www.timecontrol.com.pl
  www.ubu.pl

Скачанный файл сохраняется в папке %windir%\exefld. Файл имеет расширение — exe.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887