-
Описание Win32.HLLM.Beagle.38912 (Win32.Bagle.eh)
Win32.Fantibag.H
Description Published: Wednesday, November 02, 2005
Description Modified: Monday, November 07, 2005
Также известен как Win32/Glieder.CD!Trojan, Trojan.LodAV.A (Symantec), Email-Worm.Win32.Bagle.eh (Kaspersky)
Описание:
Win32.Fantibag.H - троян, который создает фильтры для IPv4 пакетов для блокировки доступа к доменам многих антивирусных компаний. Этот троян возможно, загружается на компьютеры, зараженные Win32.Glieder (троян, который грузит и запускает exe с различных URLs).
Метод инфекции:
При запуске копирует себя в:
%System%\antiav_exe.exe
Модифицирует реестр для запуска "antiav_exe.exe" при загрузке Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \auto__antiav__key = "%System%\antiav_exe.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \auto__antiav__key = "%System%\antiav_exe.exe"
Создает %System%\antiav_dll.dll (15,107 bytes). Эта Dll внедряется в процесс explorer.exe, работая таким образом под его именем.
Выполняемые действия:
Изменяется поведение компьютера в сети.
Троян содержит список свыше 150 доменов антивирусных компаний для блокировки получения обновлений. Это достигается созданием фильтров входящих и исходящих TCP пакетов, убивающих пакеты с IP адресами из списка.
Для каждого из указанных доменных имен выполняется DNS ресольвинг, и затем фильтруются пакеты с полученными IP адресами и маской 255.255.255.0.
Завершает процессы.
"antiav_dll.dll") пытается завершить следующие процессы (связанные с антивирусами и др. защитными приложениями):
ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashPopWz.exe
ashShA64.dll
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
AUPDATE.EXE
Avconsol.exe
avgcc.exe
AVGCMSG.DLL
avgemc.exe
AVGNT.EXE
AVSCHED32.DLL
AVSCHED32.EXE
Avsynmgr.exe
AVWUPD32.EXE
BCGCB59.dll
bdmcon.exe
bdnews.exe
bdsubmit.exe
bdswitch.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll
ClamTray.exe
ClamWin.exe
CMGrdian.exe
D2htls32.dll
drwadins.exe
drweb32w.exe
drwebscd.exe
drwebupw.exe
FFJMPWEB.DLL
freshclam.exe
GUARDEVT.DLL
GUARDGUI.EXE
GUARDMSG.DLL
GuardNT.exe
IksysT32.dll
INETUPD.EXE
InocIT.exe
InoOEM.dll
InoOption.dll
InoUpTNG.exe
isafe.exe
KAV.exe
kavmm.exe
KAVPF.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
nod32.exe
nod32api.dll
nod32kui.exe
NPFMNTOR.EXE
npfmsg.exe
Nvccf0D.dll
Nvcevlog.dll
Nvcod.exe
Nvcte.exe
Nvcut.exe
OCONNDLG.DLL
OCOOKDLG.DLL
outpost.exe
pccguide.exe
PcCtlCom.exe
python23.dll
QHPF.EXE
Realmon.exe
regedit.exe
regedt32.exe
RuLaunch.exe
schface.dll
SNDSrvc.exe
SPBBCSvc.exe
spiderml.exe
symlcsvc.exe
T2w32.dll
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
Up2Date.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
vbaifps.dll
vetredir.dll
Vshwin32.exe
VsStat.exe
vsvault.dll
XT1922.dll
zatutor.exe
zlavscan.dll
zlclient.exe
zonealarm.exe
Stops and Disables Services
Пытается остановить и запретить следующие сервисы:
Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
aswUpdSv
Ati HotKey Poller
avast! Antivirus
AVEService
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
bdss
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
fsbwsys
fsdfwd
FSMA
Guard NT
InoRpc
InoRT
InoTask
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
nipsvc
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
vsserv
wscsvc
wuauserv
WZCSVC
xcomm
Изменяет системные настройки / Снижает настройки защиты :
Троян пытается удалить следующие ключи реестра, если они существуют:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \McAfee Guardian
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Zone Labs Client
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ccApp
а также ветви:
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\Zone Labs
Троян ищет на жестких дисках и пытается удалить нижеперечисленные файлы. Если файл не может быть удален, пытается переименовать - новое имя см. в правой колонке.
ashAvast.exe 1ashAvast.exe
ashDisp.exe 1ashDisp.exe
ashEnhcd.exe 1ashEnhcd.exe
ashPopWz.exe 1ashPopWz.exe
ashShA64.dll 1ashShA64.dll
ashSimpl.exe 1ashSimpl.exe
ashSkPck.exe 1ashSkPck.exe
ashWebSv.exe 1ashWebSv.exe
AUPDATE.EXE 1AUPDATE.EXE
Avconsol.exe 1Avconsol.exe
avgcc.exe 1avgcc.exe
AVGCMSG.DLL 1AVGCMSG.DLL
avgemc.exe 1avgemc.exe
AVGNT.EXE 1AVGNT.EXE
AVSCHED32.DLL 1AVSCHED32.DLL
AVSCHED32.EXE 1AVSCHED32.EXE
Avsynmgr.exe 1Avsynmgr.exe
AVWUPD32.EXE 1AVWUPD32.EXE
BCGCB59.dll 1BCGCB59.dll
bdmcon.exe 1bdmcon.exe
bdnews.exe 1bdnews.exe
bdsubmit.exe 1bdsubmit.exe
bdswitch.exe 1bdswitch.exe
cafix.exe 1cafix.exe
ccApp.exe 1ccApp.exe
CCEVTMGR.EXE 1CCEVTMGR.EXE
ccl30.dll 1ccl30.dll
CCSETMGR.EXE 1CCSETMGR.EXE
ccvrtrst.dll 1ccvrtrst.dll
ClamTray.exe 1ClamTray.exe
ClamWin.exe 1ClamWin.exe
CMGrdian.exe 1CMGrdian.exe
D2htls32.dll 1D2htls32.dll
drwadins.exe 1drwadins.exe
drweb32w.exe 1drweb32w.exe
drwebscd.exe 1drwebscd.exe
drwebupw.exe 1drwebupw.exe
FFJMPWEB.DLL 1FFJMPWEB.DLL
freshclam.exe 1freshclam.exe
GUARDEVT.DLL 1GUARDEVT.DLL
GUARDGUI.EXE 1GUARDGUI.EXE
GUARDMSG.DLL 1GUARDMSG.DLL
GuardNT.exe 1GuardNT.exe
IksysT32.dll 1IksysT32.dll
INETUPD.EXE 1INETUPD.EXE
InocIT.exe 1InocIT.exe
InoOEM.dll 1InoOEM.dll
InoOption.dll 1InoOption.dll
InoUpTNG.exe 1InoUpTNG.exe
isafe.exe 1isafe.exe
KAV.exe 1KAV.exe
kavmm.exe 1kavmm.exe
KAVPF.exe 1KAVPF.exe
LUALL.EXE 1LUALL.EXE
LUINSDLL.DLL 1LUINSDLL.DLL
Luupdate.exe 1Luupdate.exe
Mcshield.exe 1Mcshield.exe
NAVAPSVC.EXE 1NAVAPSVC.EXE
nod32.exe 1nod32.exe
nod32api.dll 1nod32api.dll
nod32kui.exe 1nod32kui.exe
NPFMNTOR.EXE 1NPFMNTOR.EXE
npfmsg.exe 1npfmsg.exe
Nvccf0D.dll 1Nvccf0D.dll
Nvcevlog.dll 1Nvcevlog.dll
Nvcod.exe 1Nvcod.exe
Nvcte.exe 1Nvcte.exe
Nvcut.exe 1Nvcut.exe
OCONNDLG.DLL 1OCONNDLG.DLL
OCOOKDLG.DLL 1OCOOKDLG.DLL
outpost.exe 1outpost.exe
pccguide.exe 1pccguide.exe
PcCtlCom.exe 1PcCtlCom.exe
python23.dll 1python23.dll
QHPF.EXE 1QHPF.EXE
Realmon.exe 1Realmon.exe
regedit.exe 1regedit.exe
regedt32.exe 1regedt32.exe
RuLaunch.exe 1RuLaunch.exe
schface.dll 1schface.dll
SNDSrvc.exe S1NDSrvc.exe
SPBBCSvc.exe S1PBBCSvc.exe
spiderml.exe s1piderml.exe
symlcsvc.exe s1ymlcsvc.exe
T2w32.dll T12w32.dll
Tmntsrv.exe T1mntsrv.exe
TmPfw.exe Tm1Pfw.exe
tmproxy.exe tm1proxy.exe
Up2Date.exe U1p2Date.exe
upgrepl.exe u1pgrepl.exe
Vba32ECM.exe V1ba32ECM.exe
Vba32ifs.exe V1ba32ifs.exe
vba32ldr.exe v1ba32ldr.exe
Vba32PP3.exe V1ba32PP3.exe
vbaifps.dll vb1aifps.dll
vetredir.dll v1etredir.dll
Vshwin32.exe Vs1hwin32.exe
VsStat.exe Vs1Stat.exe
vsvault.dll vs1vault.dll
XT1922.dll XT11922.dll
zatutor.exe za1tutor.exe
zlavscan.dll zla1vscan.dll
zlclient.exe zl1client.exe
zonealarm.exe zo1nealarm.exe
Analysis by Scott Molenkamp
----------------------------------------------------------------
Оригинал - см.
http://www3.ca.com/securityadvisor/v....aspx?id=47824
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
хорошее описание!
Эта модификация Багла в последнее время очень активна в почтовых рассылках.
-