Trojan-Downloader Win32.Bagle.g

Троянец был разослан при помощи спам-рассылки 23 ноября 2005 года. Файл троянца имеет размер 9760 байт.

Троянец был разослан при помощи спам-рассылки 23 ноября 2005 года. Файл троянца имеет размер 9760 байт.

Инсталляция

После своего запуска, троянец копирует себя в %sysdir% под именем anti_troj.exe.

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:

[HKLM\Microsoft\Windows\CurrentVersion\Run]
 "anti_troj"="C:\WINDOWS\System32\anti_troj.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "anti_troj"="C:\%sysdir%\anti_troj.exe"

Действие

Троянец пытается скачать файл со следующих серверов:

202.44.52.38
209.126.128.203
25kadr.org
65.108.195.73
757555.ru
80.146.233.41
abtechsafety.com
abtechsafety.com
acentrum.pl
adavenue.net
adoptionscanada.ca
adventecgroup.com
agenciaspublicidadinternet.com
ahava.cafe24.com
aibsnlea.org
aikidan.com
ala-bg.net
alevibirligi.ch
alfaclassic.sk
allanconi.it
allinfo.com.au
americasenergyco.com
amerykaameryka.com
amistra.com
analisisyconsultoria.com
calamarco.com
ccooaytomadrid.org
charlies-truckerpage.de
drinkwater.ru
eleceltek.com
furdoszoba.info
kepter.kz
mijusungdo.net
oklens.co.jp
phrmg.org
s89.tku.edu.tw
sacafterdark.net
template.nease.net
tkdami.net
virt33.kei.pl
www.8ingatlan.hu
www.a2zhostings.com
www.abavitis.hu
www.adamant-np.ru
www.agroturystyka.artneo.pl
www.americarising.com
www.barth.serwery.pl
www.bmswijndepot.com
www.etwas-mode.de
www.leap.co.il
www.timecontrol.com.pl
www.ubu.pl

В момент создания описания скачиваемый троянцем файл детектировался Антивирусом Касперского как Email-Worm.Win32.Bagle.er.

Скачанный файл сохраняется в папке %windir%\exefld. Имя файла представляет собой произвольный набор цифр, расширение — exe.