Trojan-Downloader. Win32.Bagle.h

Первоначально программа была разослана при помощи спам рассылки.

Первоначально программа была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 9742 байта. Написана на языке С++.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После своего запуска троянец копирует себя в системный каталог Windows c именем anti_troj.exe:

%System%\anti_troj.exe

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "anti_troj"="%System%\anti_troj.exe"

А также создает раздел:


[HKCU\Software\FirstRRRun]

В этот раздел программа записывает параметр:

"FirstRRRun"=1

Этот параметр служит для определения повторного запуска трояна в системе. Если данный параметр отсутствует в реестре, т.е. программа запущена впервые, то троянец показывает картинку ntimage.gif (находящуюся в каталоге %System% ):

Также троянец создает в корневом каталоге Windows папку с именем exefld:

%Windir%/exefld/

Деструктивная активность

Троянец проверяет наличие подключения к интернету и, если таковое присутствует, пытается скачать файл со следующих серверов:

202.44.52.38
209.126.128.203
25kadr.org
65.108.195.73
80.146.233.41
abtechsafety.com
abtechsafety.com
acentrum.pl
adavenue.net
adoptionscanada.ca
adventecgroup.com
agenciaspublicidadinternet.com
ahava.cafe24.com
aibsnlea.org
aikidan.com
ala-bg.net
alevibirligi.ch
alfaclassic.sk
allanconi.it
allinfo.com.au
americasenergyco.com
amerykaameryka.com
amistra.com
analisisyconsultoria.com
calamarco.com
ccooaytomadrid.org
charlies-truckerpage.de
drinkwater.ru
eleceltek.com
furdoszoba.info
kepter.kz
mijusungdo.net
oklens.co.jp
phrmg.org
s89.tku.edu.tw
sacafterdark.net
template.nease.net
tkdami.net
virt33.kei.pl
www.8ingatlan.hu
www.a2zhostings.com
www.abavitis.hu
www.adamant-np.ru
www.agroturystyka.artneo.pl
www.americarising.com
www.barth.serwery.pl
www.bmswijndepot.com
www.etwas-mode.de
www.leap.co.il
www.timecontrol.com.pl
www.ubu.pl

Скачанный файл сохраняется в папке %windir%\exefld. Файл имеет расширение — exe.