Trojan-Downloader Win32.Bagle.g

Троянец был разослан при помощи спам-рассылки 23 ноября 2005 года. Файл троянца имеет размер 9760 байт.

Троянец был разослан при помощи спам-рассылки 23 ноября 2005 года. Файл троянца имеет размер 9760 байт.

Инсталляция

После своего запуска, троянец копирует себя в %sysdir% под именем anti_troj.exe.

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:

 [HKLM\Microsoft\Windows\CurrentVersion\Run]
  "anti_troj"="C:\WINDOWS\System32\anti_troj.exe"
 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "anti_troj"="C:\%sysdir%\anti_troj.exe"

Действие

Троянец пытается скачать файл со следующих серверов:

202.44.52.38
 209.126.128.203
 25kadr.org
 65.108.195.73
 757555.ru
 80.146.233.41
 abtechsafety.com
 abtechsafety.com
 acentrum.pl
 adavenue.net
 adoptionscanada.ca
 adventecgroup.com
 agenciaspublicidadinternet.com
 ahava.cafe24.com
 aibsnlea.org
 aikidan.com
 ala-bg.net
 alevibirligi.ch
 alfaclassic.sk
 allanconi.it
 allinfo.com.au
 americasenergyco.com
 amerykaameryka.com
 amistra.com
 analisisyconsultoria.com
 calamarco.com
 ccooaytomadrid.org
 charlies-truckerpage.de
 drinkwater.ru
 eleceltek.com
 furdoszoba.info
 kepter.kz
 mijusungdo.net
 oklens.co.jp
 phrmg.org
 s89.tku.edu.tw
 sacafterdark.net
 template.nease.net
 tkdami.net
 virt33.kei.pl
 www.8ingatlan.hu
 www.a2zhostings.com
 www.abavitis.hu
 www.adamant-np.ru
 www.agroturystyka.artneo.pl
 www.americarising.com
 www.barth.serwery.pl
 www.bmswijndepot.com
 www.etwas-mode.de
 www.leap.co.il
 www.timecontrol.com.pl
 www.ubu.pl

В момент создания описания скачиваемый троянцем файл детектировался Антивирусом Касперского как Email-Worm.Win32.Bagle.er.

Скачанный файл сохраняется в папке %windir%\exefld. Имя файла представляет собой произвольный набор цифр, расширение — exe.