Trojan-Downloader.Win32 Bagle.r

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя. Первоначально была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 10183 байта.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После запуска троянец открывает в установленной по умолчанию программе просмотра изображений следующий файл:

 %System%\ntimage.gif
 

При инсталляции троянец копирует себя в системный каталог Windows с именем anti_troj.exe:

%System%\anti_troj.exe
 

После чего регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "anti_troj"="%System%\anti_troj.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.

Действие

В самом файле троянца содержится большой список URL адресов, которые проверяются на наличие файлов:

 http://ala-bg.net
 http://alevibirligi.ch
 http://alfaclassic.sk
 http://allanconi.it
 http://allinfo.com.au
 http://americasenergyco.com
 http://amerykaameryka.com
 http://amistra.com
 http://analisisyconsultoria.com
 http://calamarco.com
 http://eleceltek.com
 http://www.americarising.com
 http://www.bakelit.hu
 http://www.batlground.com
 http://www.bbrealservis.sk
 http://www.befag.ru
 http://www.benininfo.com
 http://www.bennylife.com
 http://www.bestcheapdomainregistration.info
 http://www.bidsforbaby.com
 http://www.binhaigolf.com
 http://www.biotenk.com
 http://www.bitsolution.ro
 http://www.boldrussell.com
 http://www.bronko-m.ru
 http://www.bulkemaildirectmarketing.com
 http://www.bulkemailservicenow.com
 http://www.calidad.biz
 http://www.cansew.ca
 http://www.cansultdubai.ae
 http://www.casaquecanta.com
 http://www.casino-malibu.ru
 http://www.chilotitomarino.cl
 http://www.chinaculturedpearl.com
 http://www.colin18.com
 http://www.connectesl.com
 http://www.khonkaenpoc.com
 http://www.nmtltd.com
 http://www.nuclear.com.pl
 http://www.vnettools.com

В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.