Trojan-Downloader.Win32.Bagle.t
Материал из Total Malware Info
Trojan-Downloader.Win32.Bagle.t — троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 30 706 байт. Упакован неизвестным упаковщиком, распакованный размер 148 КБ.
Инсталляция
Копирует свой исполняемый файл как:
%System%\im_2.exe
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] im_autorn=%System%\im_2.exe
Деструктивная активность
Скачивает файл под одной из ссылок:
http://www.******.com/ddd.jpg http://www.casinofunnights.com/ddd.jpg http://www.ec.cox-wacotrib.com/ddd.jpg http://www.crazyiron.ru/ddd.jpg http://www.uni-esma.de/ddd.jpg http://www.sorisem.net/ddd.jpg http://www.varc.lv/ddd.jpg http://www.belwue.de/ddd.jpg http://www.thetildegroup.com/ddd.jpg http://www.vybercz.cz/ddd.jpg http://www.kyno.cz/ddd.jpg http://www.forumgestionvilles.com/ddd.jpg http://www.campus-and-more.com/ddd.jpg http://www.capitalforex.com/ddd.jpg http://www.capitalspreadspromo.com/ddd.jpg http://www.prineus.de/ddd.jpg http://www.databoots.de/ddd.jpg http://www.steintrade.net/ddd.jpg http://www.njzt.net/ddd.jpg http://www.emarrynet.com/ddd.jpg http://www.zebrachina.net/ddd.jpg http://www.lxlight.com/ddd.jpg http://www.yili-lighting.com/ddd.jpg http://www.fachman.com/ddd.jpg�http://www.q-serwer.net/ddd.jpg http://www.wellness-i.com/ddd.jpg http://www.newportsystemsusa.com/ddd.jpg http://www.westcoastcadd.com/ddd.jpg http://www.wing49.cz/ddd.jpg http://www.posteffects.com/ddd.jpg http://www.provax.sk/ddd.jpg http://www.casinobrillen.de/ddd.jpg http://www.duodaydream.nl/ddd.jpg http://www.finlaw.ru/ddd.jpg http://www.fitdina.com/ddd.jpg http://www.flashcardplayer.com/ddd.jpg http://www.flox-avant.ru/ddd.jpg http://www.lotslink.com/ddd.jpg http://www.algor.com/ddd.jpg http://www.gaspekas.com/ddd.jpg http://www.ezybidz.com/ddd.jpg http://www.genesisfinancialonline.com/ddd.jpg http://www.georg-kuenzle.ch/ddd.jpg http://www.girardelli.com/ddd.jpg http://www.rodoslovia.ru/ddd.jpg http://www.golden-gross.ru/ddd.jpg http://www.gregoryolson.com/ddd.jpg http://www.gtechna.com/ddd.jpg http://www.lunardi.com/ddd.jpg http://www.sgmisburg.de/ddd.jpg http://www.harmony-farms.net/ddd.jpg http://www.hftmusic.com/ddd.jpg http://www.hiwmreport.com/ddd.jpg http://www.horizonimagingllc.com/ddd.jpg http://www.hotelbus.de/ddd.jpg http://www.howiwinmoney.com/ddd.jpg http://www.ietcn.com/ddd.jpg http://www.import-world.com/ddd.jpg http://www.houstonzoo.org/ddd.jpg http://www.interorient.ru/ddd.jpg http://www.internalcardreaders.com/ddd.jpg http://www.interstrom.ru/ddd.jpg http://www.iutoledo.org/ddd.jpg http://www.wena.net/ddd.jpg http://www.iesgrantarajal.org/ddd.jpg http://www.alexandriaradiology.com/ddd.jpg http://www.booksbyhunter.com/ddd.jpg http://www.wxcsxy.com/ddd.jpg http://www.coupdepinceau.com/ddd.jpg http://www.erotologist.com/ddd.jpg http://www.jackstitt.com/ddd.jpg http://www.imspress.com/ddd.jpg http://www.digitalefoto.net/ddd.jpg http://www.josemarimuro.com/ddd.jpg http://www.eversetic.com/ddd.jpg http://www.curious.be/ddd.jpg http://www.kameo-bijux.ru/ddd.jpg http://www.karrad6000.ru/ddd.jpg http://www.kaztransformator.kz/ddd.jpg http://www.keywordthief.com/ddd.jpg
Скачанный файл сохраняется как:
%WinDir%\__dwn.exe
и после успешной загрузки запускается на выполнение. Скачивает файл по одной из следующих ссылок:
http://www.******.com/my_foto.zip http://www.casinofunnights.com/my_foto.zip http://www.ec.cox-wacotrib.com/my_foto.zip http://www.crazyiron.ru/my_foto.zip http://www.uni-esma.de/my_foto.zip http://www.sorisem.net/my_foto.zip http://www.varc.lv/my_foto.zip http://www.belwue.de/my_foto.zip http://www.thetildegroup.com/my_foto.zip http://www.vybercz.cz/my_foto.zip http://www.kyno.cz/my_foto.zip http://www.forumgestionvilles.com/my_foto.zip http://www.campus-and-more.com/my_foto.zip http://www.capitalforex.com/my_foto.zip http://www.capitalspreadspromo.com/my_foto.zip http://www.prineus.de/my_foto.zip http://www.databoots.de/my_foto.zip http://www.steintrade.net/my_foto.zip http://www.njzt.net/my_foto.zip http://www.emarrynet.com/my_foto.zip http://www.zebrachina.net/my_foto.zip http://www.lxlight.com/my_foto.zip http://www.yili-lighting.com/my_foto.zip http://www.fachman.com/my_foto.zip http://www.q-serwer.net/my_foto.zip http://www.wellness-i.com/my_foto.zip http://www.newportsystemsusa.com/my_foto.zip http://www.westcoastcadd.com/my_foto.zip http://www.wing49.cz/my_foto.zip http://www.posteffects.com/my_foto.zip http://www.provax.sk/my_foto.zip http://www.casinobrillen.de/my_foto.zip http://www.duodaydream.nl/my_foto.zip http://www.finlaw.ru/my_foto.zip http://www.fitdina.com/my_foto.zip http://www.flashcardplayer.com/my_foto.zip http://www.flox-avant.ru/my_foto.zip http://www.lotslink.com/my_foto.zip http://www.algor.com/my_foto.zip http://www.gaspekas.com/my_foto.zip http://www.ezybidz.com/my_foto.zip http://www.genesisfinancialonline.com/my_foto.zip http://www.georg-kuenzle.ch/my_foto.zip http://www.girardelli.com/my_foto.zip http://www.rodoslovia.ru/my_foto.zip http://www.golden-gross.ru/my_foto.zip http://www.gregoryolson.com/my_foto.zip http://www.gtechna.com/my_foto.zip http://www.lunardi.com/my_foto.zip http://www.sgmisburg.de/my_foto.zip http://www.harmony-farms.net/my_foto.zip http://www.hftmusic.com/my_foto.zip http://www.hiwmreport.com/my_foto.zip http://www.horizonimagingllc.com/my_foto.zip http://www.hotelbus.de/my_foto.zip http://www.howiwinmoney.com/my_foto.zip http://www.ietcn.com/my_foto.zip http://www.import-world.com/my_foto.zip http://www.houstonzoo.org/my_foto.zip http://www.interorient.ru/my_foto.zip http://www.internalcardreaders.com/my_foto.zip http://www.interstrom.ru/my_foto.zip http://www.iutoledo.org/my_foto.zip http://www.wena.net/my_foto.zip http://www.iesgrantarajal.org/my_foto.zip http://www.alexandriaradiology.com/my_foto.zip http://www.booksbyhunter.com/my_foto.zip http://www.wxcsxy.com/my_foto.zip http://www.coupdepinceau.com/my_foto.zip http://www.erotologist.com/my_foto.zip http://www.jackstitt.com/my_foto.zip http://www.imspress.com/my_foto.zip http://www.digitalefoto.net/my_foto.zip http://www.josemarimuro.com/my_foto.zip http://www.eversetic.com/my_foto.zip http://www.curious.be/my_foto.zip http://www.kameo-bijux.ru/my_foto.zip http://www.karrad6000.ru/my_foto.zip http://www.kaztransformator.kz/my_foto.zip http://www.keywordthief.com/my_foto.zip
Скачанный файл сохраняется как:
%WinDir%\__dwn_sp.exe
при успешной загрузке файла троян запоминает сработавшую ссылку и выполняет следующие действия:
- Завершает процессы содержащие в именах строки:
- Считывает путь к базам Mirabilis ICQ из системного реестра и извлекает из баз логин и пароль текущего пользователя.
- Входит в ICQ сеть под учетной записью текущего пользователя, используя встроенный ICQ клиент и отсылает всем контактам сообщение содержащее текст вида:
ICQLite.exe ICQ.exe
my foto %s
где %s – ранее сохраненная ссылка по которой был скачан файл
%WinDir%\__dwn_sp.exe
Создает ключ реестра, в котором хранит свои настройки:
[HKCU\SOFTWARE\Microsoft\IME15]
Так же троян открывает следующую ссылку без ведома пользователя:
http://www.e******nt.ru/images/write.php
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
- Удалить файлы:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] im_autorn=%WinDir%\system32\im_2.exe
%System%\im_2.exe %WinDir%\__dwn_sp.exe %WinDir%\__dwn.exe
