Security Lab

Trojan-Downloader.Win32.Bagle.f

Trojan-Downloader.Win32.Bagle.f

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Первоначально была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 9725 байт.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После запуска троянец открывает в установленной по умолчанию программе просмотра изображений следующий файл:

  
  %System%\ntimage.gif

При инсталляции троянец копирует себя в системный каталог Windows с именем anti_troj.exe: 

  %System%\anti_troj.exe

После чего регистрирует себя в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "anti_troj"="%System%\anti_troj.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.

Действие

В самом файле троянца содержится большой список URL, которые проверяются на наличие файлов: 

  http://202.44.52.38
  http://209.126.128.203
  http://25kadr.org
  http://65.108.195.73
  http://757555.ru
  http://80.146.233.41
  http://abtechsafety.com
  http://abtechsafety.com
  http://acentrum.pl
  http://adavenue.net
  http://adoptionscanada.ca
  http://adventecgroup.com
  http://agenciaspublicidadinternet.com
  http://ahava.cafe24.com
  http://aibsnlea.org
  http://aikidan.com
  http://ala-bg.net
  http://alevibirligi.ch
  http://alfaclassic.sk
  http://allanconi.it
  http://allinfo.com.au
  http://americasenergyco.com
  http://amerykaameryka.com
  http://amistra.com
  http://analisisyconsultoria.com
  http://calamarco.com
  http://ccooaytomadrid.org
  http://charlies-truckerpage.de
  http://drinkwater.ru
  http://eleceltek.com
  http://furdoszoba.info
  http://kepter.kz
  http://mijusungdo.net
  http://oklens.co.jp
  http://phrmg.org
  http://s89.tku.edu.tw
  http://sacafterdark.net
  http://template.nease.net
  http://tkdami.net
  http://virt33.kei.pl
  http://www.8ingatlan.hu
  http://www.a2zhostings.com
  http://www.abavitis.hu
  http://www.adamant-np.ru
  http://www.agroturystyka.artneo.pl
  http://www.americarising.com
  http://www.barth.serwery.pl
  http://www.bmswijndepot.com
  http://www.etwas-mode.de
  http://www.leap.co.il
  http://www.timecontrol.com.pl
  http://www.ubu.pl

В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

OpenELM от Apple: 8 мини ИИ-моделей для смартфонов открывают большие возможности

MI5: иностранные агенты хотят похитить научные наработки британских вузов

Слежка без границ: Великобритания приняла законопроект о тотальном цифровом контроле

Капсула времени открыта: исходный код MS-DOS 4.0 опубликовали на GitHub

Сотни аварий и 13 смертей: в США расследуют меры безопасности автопилота Tesla

Будущее для каждого: Китай открывает доступ к 504-кубитному квантовому чипу

Фальшивое аудио с провокационными высказываниями едва не стоило работы директору школы

Миллионы ПК под контролем PlugX: осиротевший зомби-червь все еще охотится за чужими секретами

DoubleYou: новый инструмент защиты macOS от АНБ и Apple