Данная программа представляет собой троянскую составляющую почтовых червей семейства Email-Worm.Win32.Bagle. Она предназначена для загрузки на зараженный компьютер файлов из сети Интернет без ведома пользователя и последующего запуска их на исполнение.
Является приложением Windows (PE EXE-файл). Размер компонентов троянца варьируется в пределах от 200 до 320 КБ.
Инсталляция
При инсталляции троянец копирует свой исполняемый файл в следующую папку:
%System%\drivers\hidr.exe
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\drivers\hidr.exe"
Также троянец создает ключ реестра, в котором хранит свои настройки:
[HKCU\Software\FirstRRRun]
Затем программа извлекает из своего исполняемого файла rootkit-драйвер:
%System%\drivers\srosa.sys
Троянец создает службу с именем «Megadrv3», которая при каждой загрузке Windows запускает извлеченный драйвер.
При помощи установленного rootkit-драйвера троянец скрывает свои файлы на жестком диске и записи в системном реестре, а также свой процесс в списке системных процессов.
Деструктивная активность
Троянец завершает следующие процессы:
a2cmd.exe
a2guard.exe
a2HiJackFree.exe
a2scan.exe
a2service.exe
a2start.exe
a2upd.exe
a2wizard.exe
aavshield.exe
About.exe
AckWin32.exe
ADVCHK.EXE
Agb5.exe
Agb5_.exe
AhnSD.exe
airdefense.exe
ALERTSVC.EXE
ALMon.exe
ALOGSERV.EXE
ALsvc.exe
ALUNOTIFY.EXE
amon.exe
Anti-Trojan.exe
AntiVirScheduler
AntiVirService
AntiVirus.exe
ANTS.EXE
APVXDWIN.EXE
Armor2net.exe
ash.exe
ashAvast.exe
ashAvSrv.exe
ashchest.exe
ashDisp.exe
ashDug.exe
ashEnhcd.exe
ashLogV.exe
ashMaiSv.exe
ashPopWz.exe
ashQuick.exe
ashServ.exe
ashsimp2.exe
ashSimpl.exe
ashSkPcc.exe
ashSkPck.exe
ashUpd.exe
ashWebSv.exe
ash_UpdateMediator.exe
aswRegSvr.exe
aswUpdSv.exe
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AutostartExplorer.exe
AUTOTRACE.EXE
AUTOUPDATE.EXE
avadmin.exe
avcenter.exe
avciman.exe
avcmd.exe
avconfig.exe
Avconsol.exe
AVENGINE.EXE
avgamsvr.exe
avgcc.exe
AVGCC32.EXE
AVGCTRL.EXE
avgdiag.exe
avgemc.exe
avgfwsrv.exe
avginet.exe
avgnpdln.exe
avgnpsvc.exe
AVGNT.EXE
avgntdd
avgntmgr
avgrssvc.exe
avgscan.exe
AVGSERV.EXE
AVGUARD.EXE
avgupden.exe
avgupsvc.exe
avgvv.exe
avgw.exe
avgwizfw.exe
avinitnt.exe
AvkServ.exe
AVKService.exe
AVKWCtl.exe
avnotify.exe
AVP.EXE
AVP32.EXE
avpcc.exe
avpm.exe
AVPUPD.EXE
avscan.exe
AVSCHED32.EXE
avsynmgr.exe
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BackWeb-4476822.exe
bdagent.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdsubmitwiz.exe
BDSurvey.exe
bdswitch.exe
bdwizreg.exe
blackd.exe
blackice.exe
blindman.exe
BTIni.exe
BTIniNT.exe
cafix.exe
CavApp.exe
CaVasm.exe
CavAUD.exe
CavEmSrv.exe
Cavmr.exe
CavMUD.exe
Cavoar.exe
CavQ.exe
CAVSCons.exe
cavse.exe
CavSn.exe
CavSub.exe
CAVSubmit.exe
CavUMAS.exe
CavUserUpd.exe
Cavvl.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccSetMgr.exe
CEmRep.exe
CFIAUDIT.EXE
CHKDSK.EXE
clamscan.exe
ClamTray.exe
ClamWin.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
CliSvc.exe
CMain.exe
CMGrdian.exe
copyx64.exe
cpd.exe
cssexc.exe
custinstall.exe
custsetup.exe
defensewall.exe
DefWatch.exe
dislite.exe
DOORS.EXE
dpatrolq.exe
drvctl.exe
DrVirus.exe
DrvMap.exe
drwadins.exe
drweb32w.exe
drweb386.exe
drwebscd.exe
DRWEBUPW.EXE
drwebwcl.exe
drwreg.exe
ecmd.exe
egni.exe
ekrn.exe
EMM386.EXE
ESCANH95.EXE
ESCANHNT.EXE
ewidoctrl.exe
exit_av.exe
EzAntivirusRegistrationCheck.exe
F-AGNT95.EXE
F-PROT95.EXE
F-Sched.exe
F-StopW.EXE
FAMEH32.exe
FAST.EXE
FCH32.exe
firebird.exe
FireSvc.exe
FireTray.exe
FIREWALL.EXE
FLOPPY.EXE
FLOPPY9x.EXE
FLOPPYME.EXE
FPAVServer.exe
fpavupdm.exe
FProtTray.exe
fpscan.exe
fptrayproc.exe
FPWin.exe
freshclam.exe
FRW.EXE
fsample.exe
fsaua.exe
fsauach.exe
fsav.exe
fsav32.exe
fsavaui.exe
fsavgui.exe
fsavstrt.exe
fsavwsch.exe
fsavwscr.exe
fsbwsys.exe
fsdbuh.exe
fsdc.exe
fsdfwd.exe
FSDIAG.exe
FsDiagUi.exe
fsfwwsch.exe
fsfwwscr.exe
fsgetwab.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fsguiexe.exe
FSHDLL32.exe
fshelp.exe
FSHOTFIX.exe
fsihcomp.exe
fsihs.exe
FSIMAGE.EXE
FSLAUNCH.exe
FSM32.exe
FSMA32.exe
FSMB32.exe
fspc.exe
fspex.exe
fsqh.exe
fssf.exe
fssg.exe
fssm32.exe
fsstm.exe
fssw.exe
fstlui.exe
fsuninst.exe
fsus.exe
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe
GIANTAntiSpywareUpdater.exe
GUARD.EXE
guardgni.exe
GUARDGUI.EXE
GuardNT.exe
helper.exe
hipsdiag.exe
HRegMon.exe
Hrres.exe
HSockPE.exe
HUpdate.EXE
iamapp.exe
iamserv.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IERegFix.exe
IFACE.EXE
ih8.exe
ih8run.exe
ILAUNCHR.exe
INETUPD.EXE
InocIT.exe
InoRpc.exe
InoRT.exe
InoTask.exe
InoUpTNG.exe
InstallCAVS.exe
InstallLicense.exe
InstallLSP.exe
InstLsp.exe
INWISE.EXE
IOMON98.EXE
isafe.exe
ISATRAY.EXE
ISPNews.exe
isPwdsvc.exe
ISRV95.EXE
ISSVC.exe
isUAC.exe
JEDI.EXE
KAV.exe
kavmm.exe
KAVPF.exe
KavPFW.exe
KAVStart.exe
KAVSvc.exe
KAVSvcUI.EXE
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
licmgr.exe
livesrv.exe
LiveUpdate.exe
LOCKDOWN2000.EXE
LogWatNT.exe
lpfw.exe
LUALL.EXE
LUCallbackProxy.exe
LUCheck.exe
LUCOMSERVER.EXE
LuComServer_3_2.EXE
LuConfig.exe
LUInit.exe
Luupdate.exe
MalwareRemoval.exe
MCAGENT.EXE
mcmnhdlr.exe
mcregwiz.exe
Mcshield.exe
MCUPDATE.EXE
mcvsshld.exe
MemString.exe
MINILOG.EXE
MONITOR.EXE
monlite.exe
MonSysNT.exe
MOOLIVE.EXE
MpEng.exe
mpssvc.exe
MSMPSVC.exe
mva.exe
MVC.exe
myAgtSvc.exe
myagttry.exe
navapsvc.exe
NAVAPW32.EXE
NavLu32.exe
NAVStub.exe
NAVW32.EXE
Navwnt.exe
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NetstatViewer.exe
nisoptui.exe
NISSERV
NISUM.EXE
NMAIN.EXE
nod32.exe
nod32krn.exe
nod32kui.exe
NORMIST.EXE
NotifyHA.exe
notstart.exe
npavtray.exe
NPFMNTOR.EXE
npfmsg.exe
NPROTECT.EXE
NSCHED32.EXE
NSMdtr.exe
NssServ.exe
NssTray.exe
ntoskrnl.exe
ntrtscan.exe
NTXconfig.exe
NUPGRADE.EXE
NVC95.EXE
Nvcod.exe
Nvcte.exe
Nvcut.exe
NWCDEX.EXE
NWService.exe
oasrv.exe
oaui.exe
OfcPfwSvc.exe
olAddin.exe
OnAccessInstaller.exe
osCheck.exe
OUTPOST.EXE
PartIn.exe
PartIn9x.exe
partinfo.exe
PartInNT.exe
PAV.EXE
PavFires.exe
PavFnSvr.exe
Pavkre.exe
PavProt.exe
pavProxy.exe
pavprsrv.exe
pavsrv51.exe
PAVSS.EXE
pccguide.exe
PCCIOMON.EXE
pccntmon.exe
PCCPFW.exe
PcCtlCom.exe
PCTAV.exe
PERSFW.EXE
pertsk.exe
PERVAC.EXE
PM8Flash.exe
PMagic.exe
PMagic9x.exe
PMagicBT.exe
PMagicNT.exe
PNMSRV.EXE
POLUTIL.exe
POP3TRAP.EXE
POPROXY.EXE
postinstall.exe
ppfw.exe
PQBOOT.EXE
Pqboot32.exe
PQBOOTX.EXE
pqbw.exe
PQLAUNCH.EXE
PQMAGIC.EXE
PqPe.exe
pqpe9x.exe
pqpent.exe
preconfig.exe
preupd.exe
prevsrv.exe
PrevxSetup.exe
ProcessViewer.exe
psctrls.exe
pshost.exe
PsImSvc.exe
PTEDIT.EXE
PTEDIT32.EXE
PTEPIT32.EXE
PXAgent.exe
PXConsole.exe
PXL.exe
PXL1.exe
PXReset.exe
pxsupport.exe
QHM32.EXE
QHONLINE.EXE
QHONSVC.EXE
QHPF.EXE
qhwscsvc.exe
qklez.exe
qrtfix.exe
quaranti.exe
RavMon.exe
RavTimer.exe
Realmon.exe
REALMON95.EXE
register.exe
removeit.exe
Remover.exe
Rescue.exe
rfwmain.exe
Rtvscan.exe
RTVSCN95.EXE
RuLaunch.exe
RunSetup.exe
sarcli.exe
sargui.exe
SAV32CLI.EXE
SAVAdminService.exe
SAVMain.exe
savprogress.exe
SAVScan.exe
SCAN32.EXE
scanner.exe
ScanningProcess.exe
sched.exe
sdhelp.exe
sdinvoker.exe
sdloader.exe
SDTrayApp.exe
seccenter.exe
SERVIC~1.EXE
SHSTAT.EXE
sigtool.exe
SiteCli.exe
smc.exe
SNDSrvc.exe
SNUTIL.EXE
SPBBCSvc.exe
SPHINX.EXE
spiderml.exe
spidernt.exe
Spiderui.exe
sporder.exe
SpybotSD.exe
SPYXX.EXE
SS3EDIT.EXE
start_diag.exe
stopsignav.exe
SubmitFiles.exe
svcntaux.exe
swAgent.exe
swdoctor.exe
swdsvc.exe
SWNETSUP.EXE
SymantecRootInstaller.exe
symlcsvc.exe
SymProxySvc.exe
SymSPort.exe
SymWSC.exe
SYNMGR.EXE
Sysinfo.exe
TAUMON.EXE
TBMon.exe
TC.EXE
tca.exe
TCM.EXE
TDS-3.EXE
TeaTimer.exe
TFAK.EXE
tgsvcstp.exe
THAV.EXE
THGnard.exe
THSM.EXE
Tmas.exe
tmlisten.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
tnbutil.exe
tracelog.exe
TRJSCAN.EXE
TrojanGuarder.exe
TrojanHunter.exe
trtddptr.exe
uiscan.exe
UninstallCAVS.exe
Uninstaller.exe
UninstallLSP.exe
unp_test.exe
Up2Date.exe
UPDATE.EXE
UpdaterUI.exe
updclient.exe
upgrepl.exe
UPSObMaker.exe
UUpd.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
VBSNTW.exe
vchk.exe
vcrmon.exe
VetTray.exe
viritexp.exe
viritsvc.exe
VirusKeeper.exe
VirusNews.exe
VistAux.exe
VisthLic.exe
VisthUpd.exe
VPTRAY.EXE
vrfwsvc.exe
VRMONNT.EXE
vrmonsvc.exe
vrrw32.exe
VSECOMR.EXE
Vshwin32.exe
vsmon.exe
vsserv.exe
VsStat.exe
w9xpopen
WATCHDOG.EXE
Wclose.exe
webfiltr.exe
WebProxy.exe
Webscanx.exe
WEBTRAP.EXE
WGFE95.EXE
wil.exe
Winaw32.exe
WindowList.exe
winroute.exe
winss.exe
winssnotify.exe
WRADMIN.EXE
WRCTRL.EXE
writespid.exe
WRPROG.EXE
wsctool.exe
xcommsvr.exe
zatutor.exe
ZAUINST.EXE
zauninst.exe
zlclient.exe
zonealarm.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
А также останавливает и удаляет службы:
wuauserv Aavmker4 ABVPN2K ADBLOCK.DLL ADFirewall AFWMCL Ahnlab task Scheduler alerter AlertManger AntiVir Service AntiyFirewall ARP.DLL aswMon2 aswRdr aswTdi aswUpdSv Ati HotKey Poller avast! Antivirus avast! Mail Scanner avast! Web Scanner AVEService AVExch32Service AvFlt Avg7Alrt Avg7Core Avg7RsW Avg7RsXP Avg7UpdSvc AvgCore AvgFsh AVGFwSrv AvgFwSvr AvgServ AvgTdi AVIRAMailService AVIRAService avpcc AVUPDService AVWUpSrv AvxIni awhost32 backweb client 4476822 BackWeb Client 7681197 backweb client-4476822 Bdfndisf bdftdif bdss BlackICE BsFileSpy BsFirewall BsMailProxy CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe CONTENT.DLL DefWatch DNSCACHE.DLL drwebnet dvpapi dvpinit ewido security suite control ewido security suite driver ewido security suite guard F-Prot Antivirus Update Monitor F-Secure Gatekeeper Handler Starter firewall fsbwsys FSDFWD FSFW FSMA FSAUA F-Secure Gatekeeper Handler Starter FTPFILT.DLL FwcAgent fwdrv Guard NT HSnSFW HSnSPro HTMLFILT.DLL HTTPFILT.DLL IMAPFILT.DLL InoRPC InoRT InoTask Ip6Fw Ip6FwHlp KAVMonitorService KAVSvc KLBLMain KPfwSvc KWatch3 KWatchSvc MAILFILT.DLL McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte Microsoft NetWork FireWall Services MonSvcNT MpfService navapsvc Ndisuio NDIS_RD Network Associates Log Service nipsvc NISSERV NISUM NNTPFILT.DLL NOD32ControlCenter NOD32krn NOD32Service Norman NJeeves Norman Type-R Norman ZANDA Norton AntiVirus Server NPDriver NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService OfcPfwSvc Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVAGENTE PavAtScheduler PAVDRV PAVFIRES PAVFNSVR Pavkre PavProc PavProt PavPrSrv PavReport PAVSRV PCCPFW PCC_PFW PersFW Personal Firewall POP3FILT.DLL PREVSRV PROTECT.DLL PSIMSVC qhwscsvc wscsvc Quick Heal Online Protection ravmon8 RfwService SAVFMSE SAVScan SBService schscnt SECRET.DLL SharedAccess SmcService SNDSrvc SPBBCSvc SpiderNT SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC The_Hacker_Antivirus Tmntsrv TmPfw tmproxy tmtdi tm_cfw T_H_S_M V3MonNT V3MonSvc Vba32ECM Vba32ifs Vba32Ldr Vba32PP3 VBCompManService VexiraAntivirus VFILT VisNetic AntiVirus Plug-in vrfwsvc vsmon VSSERV WinAntivirus WinRoute WinDefend wuauserv Xcomm
Троянец загружает файл по одной из следующих ссылок:
http://cortinasdoncarlos.com.ar***
http://www.courdesloges.com***
http://aytocristobal.com***
http://cuidatumiembro.com***
http://cyclegolf.com***
http://cycletech.de***
http://maneironsclimb.com***
http://www.etraining.ee***
http://dadivaria.com***
http://dancefrequency.com.br***
http://darioo.altervista.org***
http://daruliftaa.com***
http://datalifecenter.com***
http://datissa.com***
http://www.dbmetric.com***
http://WWW.DDP.COM.PE***
http://www.debmark.com***
http://decastrogil.es***
http://delattres.com***
http://demianaiello.com.ar***
http://demo.portaltapejara.com***
http://derechoydemocracia.es***
http://www.devergo.com***
http://dezaete.nl***
http://dieppeseinemaritime.com***
http://digitalpicture.com***
http://digicromo.com***
http://diocesequebec.qc.ca***
http://divinaclub.com***
http://divinojocelyn.altervista.org***
http://dj-horoz.com***
http://djsoprano.cp.win.pl***
http://djthefox.com***
http://deniselinsconvites.com.br***
http://lotva.org***
http://oliwia.iskierka.org***
http://dospablos.es***
http://dponcemi.altervista.org***
http://drutplast.com.pl***
http://dudys.bx.pl***
http://dukedem.com***
http://dddesignstudio.com***
http://easylimo.es***
http://doctorlife.org***
http://eccesso.es***
http://ecobos.be***
http://www.edenvillage.it***
http://programaseducativos-salamanca.com***
http://www.ekogips.pl***
http://www.ekotap.pl***
http://elelfogris.com***
http://elemco.pl***
http://elitan.pl***
http://passecdl.co.uk***
http://www.elotron.com***
http://elpantalan.es***
http://industriascarnicaselrobledo.com***
http://www.enco-group.cz***
http://energiesport.com***
http://epamateohernandez.com***
http://eravamo100.altervista.org***
http://esf-ct.com***
http://espaciojoven.org***
http://www.espaceprojets-villejuif.fr***
http://www.eszterlancaruhaz.hu***
http://www.etalon-stroy.ru***
http://www.experiment.lv***
http://streetlions.com***
http://www.false-news.com***
http://falshpolcom.18.com1.ru***
http://www.concretosfamasa.com***
http://fermesdemarie.eolas-services.com***
http://fernandoaureliano.com***
http://fetems.org.br***
http://wolfsdonksport.be***
http://filibertovillalobosguijuelo.com***
http://finz-center.com***
http://www.fitdina.com***
http://fiveuk.fi.funpic.org***
http://flabs.net***
http://fomentocredito.es***
http://fortis-sf.home.pl***
http://fotoastur.com***
http://fouadovedia.com***
http://foxx.fan-sites.org***
http://frauen-ratgeber.com***
http://fritschiclean.ch***
http://www.kfzeintragsservice.de***
http://www.autometasuche.de.***
http://www.s-w-services.co.uk***
http://www.bodis.at***
http://www.musikverein-grosswallstadt.de***
http://tripplexwelt.de***
http://www.weingut-giegerich.de***
http://www.tenbrink-online.de***
http://www.alphazip.com***
http://www.kayaks.cz***
http://galami.sk***
http://galateainteriorismo.com***
http://galixesol.com***
http://www.gan-psifas.co.il***
http://robertsandboles.co.nz***
http://gazetaszkolna.edu.pl***
http://gdri.si***
http://generation80.be***
http://www.georg-kuenzle.ch***
http://giannifalco.com***
http://gim24.icx.pl***
http://giresuneczaciodasi.org.tr***
http://girmantasphotography.com***
http://giustiziasicura.org***
http://glodowka.com.pl***
http://202.162.97.63***
http://brzozowa.v24.pl***
http://goldpartner.pl***
http://gomashie.com***
http://go-modaru.21.com1.ru***
http://gravesite.gr.funpic.org***
http://www.gregorvandermark.com***
http://grupoexpansiona.com***
http://grupogolpe.com***
http://ospkarlino.bulls.net.pl***
http://3g-tech-industries.com***
http://guia-aumento-penis.com***
http://guia-femenina.com***
http://guia-feminina.com***
http://guia-ipc.com***
http://guida-allungamento-pene.com***
http://guide-agrandissement-penis.com***
http://guide-feminin.com***
http://jewelrytools.boo.pl***
http://gustavomendonca.com***
http://gusts.net***
http://www.hanyungprinting.co.uk***
http://hawaiicandy.com***
http://hellsquad.net***
http://www.hellsquad.net***
http://hostalhispanico2.com***
http://hostalhispanico.com***
Скачанный файл сохраняется под случайным именем, состоящим из цифр и расширения «.exe», в следующую папку:
%WinDir%\exefqd
Затем он запускается на исполнение.
|