Trojan-Downloader.Win32. Bagle.aj

Программа, представляющая собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle.

Программа, представляющая собой троянскую составляющую почтового червя Email-Worm.Win32.Bagle. Данная программа позволяет злоумышленнику использовать зараженную машину в качестве прокси-сервера.

Является приложением Windows (PE EXE-файл). Имеет размер 9732 байта.

Инсталляция

При инсталляции троянец копирует себя в системный каталог Windows с именем wintems.exe:

%System%\wintems.exe

После чего регистрирует себя в ключах автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "german.exe"="%System%\wintems.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает следующие записи в системном реестре:

[HKCU\Software\DateTime4]
 Uid="<произвольный номер>"
 Port="<порт, открываемый троянцем>"
 wdrn="<номер, назначенный троянцем>"
Деструктивная активность

После запуска троянец открывает TCP-порт и посылает HTTP-запрос с указанием прослушиваемого порта и другой информацией о системе следующим сетевым серверам:

http://***omah-city.ru/vakans/blst.php
http://8***ta.ru/img/path/news.php
http://a***.ru/images/news.php
http://avist***e.ru/prog/img/proizvod/blst.php
http://avist***e.ru/prog/img/proizvod/news.php
http://calim***rf.com/images/base/orig/news.php
http://celebrati***inspain.com/images/news.php
http://co***-adventures.com/images/news.php
http://d***.ru/images/news.php
http://dearru***e.com/images/news.php
http://e***-eg.net/images/news.php
http://ferru***mp.ru/images/news.php
http://financial***iness.ca/images/news.php
http://g***en-ring.net/images/news.php
http://good***hscents.com/images/news.php
http://jam***jo.com/images/news.php
http://k***.ru/images/news.php
http://km***.biz/images/news.php
http://ko***.com/images/news.php
http://mag***.ru/images/news.php
http://mer***-akademie.de/images/news.php
http://mir-v***v.ru/p/lang/CVS/news.php
http://mir-ve***.ru/p/lang/CVS/blst.php
http://mon***h-city.ru/vakans/news.php
http://nakor***e.ru/htdocs/img/news.php
http://optim***ia.com/images/news.php
http://pv***.ru/images/blst.php
http://pv***.ru/images/news.php
http://raz-na***.wz.cz/html/fanklub/news.php
http://red***p.ru/images/news.php
http://rosz***met.com/images/news.php
http://s***.ru/images/news.php
http://schif***arty.de/bilder/uploads/news.php
http://serv***6.valuehost.ru/images/blst.php
http://serv***6.valuehost.ru/images/news.php
http://sp***.ru/images/news.php
http://stroyind***ry.ru/service/construction/news.php
http://tar***.ru/images/news.php
http://trans***otours.ru/img/news.php
http://trehr***ie.ru/images/blst.php
http://turnstyle***cketing.com/images/blst.php
http://twilight***e.cz/distro/blst.php
http://vladzernopr***ct.ru/control/sell/t/news.php
http://vn***o.ru/images/_notes/blst.php
http://voelck***mbh.de/images/blst.php
http://vser***tki.ru/images/blst.php
http://vtr-***.ru/fp/mikrobus/gazel/blst.php
http://www.***age.ru/sport/omega/pic/omega/news.php
http://www.13t***rigobert.de/_themes/kopie-von-fantasie-in-blau/blst.php
http://www.13tw22rig***rt.de/_themes/kopie-von-fantasie-in-blau/news.php
http://www.b***eh.ru/images/ludi/blst.php
http://www.bmbl***irm.com/images/blst.php
http://www.dea***games.de/DG/BF/BF-Links/clans/news.php
http://www.emil-zi***u.de/karten/news.php
http://www.en***.ru/images/blst.php
http://www.enertellig***e.com/playitsafe/images/blst.php
http://www.etype.host***city.net/mysql_admin_new/images/news.php
http://www.g-ant***ft.com/images/icon/jpg/blog/blst.php
http://www.ipr***cionales.com/images/news.php
http://www.katjas-***sen.de/blog/images/colors/news.php
http://www.levada.ru/htm***ea/images/news.php
http://www.m***owapartments.ru/images/_vti_cnf/news.php
http://www.ord***eslichts.de/intern/news.php
http://www.pe***i.ru/images/news.php
http://www.r***e.ch/images/news.php
http://www.z***.ru/images/news.php

Это дает возможность злоумышленнику работать в сети от имени «зараженного» хоста, создавая иллюзию работы именно с этой машины.