Trojan-Downloader.Win32 Bagle.r

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Первоначально была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 10183 байта.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После запуска троянец открывает в установленной по умолчанию программе просмотра изображений следующий файл:

%System%\ntimage.gif

При инсталляции троянец копирует себя в системный каталог Windows с именем anti_troj.exe:

%System%\anti_troj.exe

После чего регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "anti_troj"="%System%\anti_troj.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.

Действие

В самом файле троянца содержится большой список URL адресов, которые проверяются на наличие файлов:

http://ala-bg.net
http://alevibirligi.ch
http://alfaclassic.sk
http://allanconi.it
http://allinfo.com.au
http://americasenergyco.com
http://amerykaameryka.com
http://amistra.com
http://analisisyconsultoria.com
http://calamarco.com
http://eleceltek.com
http://www.americarising.com
http://www.bakelit.hu
http://www.batlground.com
http://www.bbrealservis.sk
http://www.befag.ru
http://www.benininfo.com
http://www.bennylife.com
http://www.bestcheapdomainregistration.info
http://www.bidsforbaby.com
http://www.binhaigolf.com
http://www.biotenk.com
http://www.bitsolution.ro
http://www.boldrussell.com
http://www.bronko-m.ru
http://www.bulkemaildirectmarketing.com
http://www.bulkemailservicenow.com
http://www.calidad.biz
http://www.cansew.ca
http://www.cansultdubai.ae
http://www.casaquecanta.com
http://www.casino-malibu.ru
http://www.chilotitomarino.cl
http://www.chinaculturedpearl.com
http://www.colin18.com
http://www.connectesl.com
http://www.khonkaenpoc.com
http://www.nmtltd.com
http://www.nuclear.com.pl
http://www.vnettools.com

В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.