Trojan-Downloader.Win32 Bagle.r
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.
Инсталляция
После запуска троянец открывает в установленной по умолчанию программе просмотра изображений следующий файл:
%System%\ntimage.gif
При инсталляции троянец копирует себя в системный каталог Windows с именем anti_troj.exe:
%System%\anti_troj.exe
После чего регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "anti_troj"="%System%\anti_troj.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.
Действие
В самом файле троянца содержится большой список URL адресов, которые проверяются на наличие файлов:
http://ala-bg.net http://alevibirligi.ch http://alfaclassic.sk http://allanconi.it http://allinfo.com.au http://americasenergyco.com http://amerykaameryka.com http://amistra.com http://analisisyconsultoria.com http://calamarco.com http://eleceltek.com http://www.americarising.com http://www.bakelit.hu http://www.batlground.com http://www.bbrealservis.sk http://www.befag.ru http://www.benininfo.com http://www.bennylife.com http://www.bestcheapdomainregistration.info http://www.bidsforbaby.com http://www.binhaigolf.com http://www.biotenk.com http://www.bitsolution.ro http://www.boldrussell.com http://www.bronko-m.ru http://www.bulkemaildirectmarketing.com http://www.bulkemailservicenow.com http://www.calidad.biz http://www.cansew.ca http://www.cansultdubai.ae http://www.casaquecanta.com http://www.casino-malibu.ru http://www.chilotitomarino.cl http://www.chinaculturedpearl.com http://www.colin18.com http://www.connectesl.com http://www.khonkaenpoc.com http://www.nmtltd.com http://www.nuclear.com.pl http://www.vnettools.com
В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.
Ваш провайдер знает о вас больше, чем ваша девушка?