Trojan-Downloader. Win32.Bagle.h

Первоначально программа была разослана при помощи спам рассылки.

Первоначально программа была разослана при помощи спам рассылки. Является приложением Windows (PE EXE-файл). Имеет размер 9742 байта. Написана на языке С++.

Программа представляет собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Инсталляция

После своего запуска троянец копирует себя в системный каталог Windows c именем anti_troj.exe:

%System%\anti_troj.exe

Чтобы запускаться при старте операционной системы, троянец добавляет ссылку на этот файл в ключи автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "anti_troj"="%System%\anti_troj.exe"
 

А также создает раздел:

 
 [HKCU\Software\FirstRRRun]
 

В этот раздел программа записывает параметр:

 "FirstRRRun"=1
 

Этот параметр служит для определения повторного запуска трояна в системе. Если данный параметр отсутствует в реестре, т.е. программа запущена впервые, то троянец показывает картинку ntimage.gif (находящуюся в каталоге %System% ):

Также троянец создает в корневом каталоге Windows папку с именем exefld:

 %Windir%/exefld/
 

Деструктивная активность

Троянец проверяет наличие подключения к интернету и, если таковое присутствует, пытается скачать файл со следующих серверов:

 202.44.52.38
 209.126.128.203
 25kadr.org
 65.108.195.73
 80.146.233.41
 abtechsafety.com
 abtechsafety.com
 acentrum.pl
 adavenue.net
 adoptionscanada.ca
 adventecgroup.com
 agenciaspublicidadinternet.com
 ahava.cafe24.com
 aibsnlea.org
 aikidan.com
 ala-bg.net
 alevibirligi.ch
 alfaclassic.sk
 allanconi.it
 allinfo.com.au
 americasenergyco.com
 amerykaameryka.com
 amistra.com
 analisisyconsultoria.com
 calamarco.com
 ccooaytomadrid.org
 charlies-truckerpage.de
 drinkwater.ru
 eleceltek.com
 furdoszoba.info
 kepter.kz
 mijusungdo.net
 oklens.co.jp
 phrmg.org
 s89.tku.edu.tw
 sacafterdark.net
 template.nease.net
 tkdami.net
 virt33.kei.pl
 www.8ingatlan.hu
 www.a2zhostings.com
 www.abavitis.hu
 www.adamant-np.ru
 www.agroturystyka.artneo.pl
 www.americarising.com
 www.barth.serwery.pl
 www.bmswijndepot.com
 www.etwas-mode.de
 www.leap.co.il
 www.timecontrol.com.pl
 www.ubu.pl
 

Скачанный файл сохраняется в папке %windir%\exefld. Файл имеет расширение — exe.