Trojan-Downloader.Win32.Bagle.f

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Первоначально была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 9725 байт.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После запуска троянец открывает в установленной по умолчанию программе просмотра изображений следующий файл:

 
 %System%\ntimage.gif

При инсталляции троянец копирует себя в системный каталог Windows с именем anti_troj.exe:

 %System%\anti_troj.exe

После чего регистрирует себя в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "anti_troj"="%System%\anti_troj.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.

Действие

В самом файле троянца содержится большой список URL, которые проверяются на наличие файлов:

 http://202.44.52.38
 http://209.126.128.203
 http://25kadr.org
 http://65.108.195.73
 http://757555.ru
 http://80.146.233.41
 http://abtechsafety.com
 http://abtechsafety.com
 http://acentrum.pl
 http://adavenue.net
 http://adoptionscanada.ca
 http://adventecgroup.com
 http://agenciaspublicidadinternet.com
 http://ahava.cafe24.com
 http://aibsnlea.org
 http://aikidan.com
 http://ala-bg.net
 http://alevibirligi.ch
 http://alfaclassic.sk
 http://allanconi.it
 http://allinfo.com.au
 http://americasenergyco.com
 http://amerykaameryka.com
 http://amistra.com
 http://analisisyconsultoria.com
 http://calamarco.com
 http://ccooaytomadrid.org
 http://charlies-truckerpage.de
 http://drinkwater.ru
 http://eleceltek.com
 http://furdoszoba.info
 http://kepter.kz
 http://mijusungdo.net
 http://oklens.co.jp
 http://phrmg.org
 http://s89.tku.edu.tw
 http://sacafterdark.net
 http://template.nease.net
 http://tkdami.net
 http://virt33.kei.pl
 http://www.8ingatlan.hu
 http://www.a2zhostings.com
 http://www.abavitis.hu
 http://www.adamant-np.ru
 http://www.agroturystyka.artneo.pl
 http://www.americarising.com
 http://www.barth.serwery.pl
 http://www.bmswijndepot.com
 http://www.etwas-mode.de
 http://www.leap.co.il
 http://www.timecontrol.com.pl
 http://www.ubu.pl
 

В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.