Trojan-Downloader.Win32. Bagle.cu

Данная программа представляет собой троянскую составляющую почтовых червей семейства Email-Worm.Win32.Bagle.

Данная программа представляет собой троянскую составляющую почтовых червей семейства Email-Worm.Win32.Bagle. Она предназначена для загрузки на зараженный компьютер файлов из сети Интернет без ведома пользователя и последующего запуска их на исполнение.

Является приложением Windows (PE EXE-файл). Размер компонентов троянца варьируется в пределах от 200 до 320 КБ.

Инсталляция

При инсталляции троянец копирует свой исполняемый файл в следующую папку:

%System%\drivers\hidr.exe

С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" = "%System%\drivers\hidr.exe"

Также троянец создает ключ реестра, в котором хранит свои настройки:

[HKCU\Software\FirstRRRun]

Затем программа извлекает из своего исполняемого файла rootkit-драйвер:

%System%\drivers\srosa.sys

Троянец создает службу с именем «Megadrv3», которая при каждой загрузке Windows запускает извлеченный драйвер.

При помощи установленного rootkit-драйвера троянец скрывает свои файлы на жестком диске и записи в системном реестре, а также свой процесс в списке системных процессов.

Деструктивная активность

Троянец завершает следующие процессы:

a2cmd.exe
a2guard.exe
a2HiJackFree.exe
a2scan.exe
a2service.exe
a2start.exe
a2upd.exe
a2wizard.exe
aavshield.exe
About.exe
AckWin32.exe
ADVCHK.EXE
Agb5.exe
Agb5_.exe
AhnSD.exe
airdefense.exe
ALERTSVC.EXE
ALMon.exe
ALOGSERV.EXE
ALsvc.exe
ALUNOTIFY.EXE
amon.exe
Anti-Trojan.exe
AntiVirScheduler
AntiVirService
AntiVirus.exe
ANTS.EXE
APVXDWIN.EXE
Armor2net.exe
ash.exe
ashAvast.exe
ashAvSrv.exe
ashchest.exe
ashDisp.exe
ashDug.exe
ashEnhcd.exe
ashLogV.exe
ashMaiSv.exe
ashPopWz.exe
ashQuick.exe
ashServ.exe
ashsimp2.exe
ashSimpl.exe
ashSkPcc.exe
ashSkPck.exe
ashUpd.exe
ashWebSv.exe
ash_UpdateMediator.exe
aswRegSvr.exe
aswUpdSv.exe
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AutostartExplorer.exe
AUTOTRACE.EXE
AUTOUPDATE.EXE
avadmin.exe
avcenter.exe
avciman.exe
avcmd.exe
avconfig.exe
Avconsol.exe
AVENGINE.EXE
avgamsvr.exe
avgcc.exe
AVGCC32.EXE
AVGCTRL.EXE
avgdiag.exe
avgemc.exe
avgfwsrv.exe
avginet.exe
avgnpdln.exe
avgnpsvc.exe
AVGNT.EXE
avgntdd
avgntmgr
avgrssvc.exe
avgscan.exe
AVGSERV.EXE
AVGUARD.EXE
avgupden.exe
avgupsvc.exe
avgvv.exe
avgw.exe
avgwizfw.exe
avinitnt.exe
AvkServ.exe
AVKService.exe
AVKWCtl.exe
avnotify.exe
AVP.EXE
AVP32.EXE
avpcc.exe
avpm.exe
AVPUPD.EXE
avscan.exe
AVSCHED32.EXE
avsynmgr.exe
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BackWeb-4476822.exe
bdagent.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdsubmitwiz.exe
BDSurvey.exe
bdswitch.exe
bdwizreg.exe
blackd.exe
blackice.exe
blindman.exe
BTIni.exe
BTIniNT.exe
cafix.exe
CavApp.exe
CaVasm.exe
CavAUD.exe
CavEmSrv.exe
Cavmr.exe
CavMUD.exe
Cavoar.exe
CavQ.exe
CAVSCons.exe
cavse.exe
CavSn.exe
CavSub.exe
CAVSubmit.exe
CavUMAS.exe
CavUserUpd.exe
Cavvl.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccSetMgr.exe
CEmRep.exe
CFIAUDIT.EXE
CHKDSK.EXE
clamscan.exe
ClamTray.exe
ClamWin.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
CliSvc.exe
CMain.exe
CMGrdian.exe
copyx64.exe
cpd.exe
cssexc.exe
custinstall.exe
custsetup.exe
defensewall.exe
DefWatch.exe
dislite.exe
DOORS.EXE
dpatrolq.exe
drvctl.exe
DrVirus.exe
DrvMap.exe
drwadins.exe
drweb32w.exe
drweb386.exe
drwebscd.exe
DRWEBUPW.EXE
drwebwcl.exe
drwreg.exe
ecmd.exe
egni.exe
ekrn.exe
EMM386.EXE
ESCANH95.EXE
ESCANHNT.EXE
ewidoctrl.exe
exit_av.exe
EzAntivirusRegistrationCheck.exe
F-AGNT95.EXE
F-PROT95.EXE
F-Sched.exe
F-StopW.EXE
FAMEH32.exe
FAST.EXE
FCH32.exe
firebird.exe
FireSvc.exe
FireTray.exe
FIREWALL.EXE
FLOPPY.EXE
FLOPPY9x.EXE
FLOPPYME.EXE
FPAVServer.exe
fpavupdm.exe
FProtTray.exe
fpscan.exe
fptrayproc.exe
FPWin.exe
freshclam.exe
FRW.EXE
fsample.exe
fsaua.exe
fsauach.exe
fsav.exe
fsav32.exe
fsavaui.exe
fsavgui.exe
fsavstrt.exe
fsavwsch.exe
fsavwscr.exe
fsbwsys.exe
fsdbuh.exe
fsdc.exe
fsdfwd.exe
FSDIAG.exe
FsDiagUi.exe
fsfwwsch.exe
fsfwwscr.exe
fsgetwab.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fsguiexe.exe
FSHDLL32.exe
fshelp.exe
FSHOTFIX.exe
fsihcomp.exe
fsihs.exe
FSIMAGE.EXE
FSLAUNCH.exe
FSM32.exe
FSMA32.exe
FSMB32.exe
fspc.exe
fspex.exe
fsqh.exe
fssf.exe
fssg.exe
fssm32.exe
fsstm.exe
fssw.exe
fstlui.exe
fsuninst.exe
fsus.exe
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe
GIANTAntiSpywareUpdater.exe
GUARD.EXE
guardgni.exe
GUARDGUI.EXE
GuardNT.exe
helper.exe
hipsdiag.exe
HRegMon.exe
Hrres.exe
HSockPE.exe
HUpdate.EXE
iamapp.exe
iamserv.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IERegFix.exe
IFACE.EXE
ih8.exe
ih8run.exe
ILAUNCHR.exe
INETUPD.EXE
InocIT.exe
InoRpc.exe
InoRT.exe
InoTask.exe
InoUpTNG.exe
InstallCAVS.exe
InstallLicense.exe
InstallLSP.exe
InstLsp.exe
INWISE.EXE
IOMON98.EXE
isafe.exe
ISATRAY.EXE
ISPNews.exe
isPwdsvc.exe
ISRV95.EXE
ISSVC.exe
isUAC.exe
JEDI.EXE
KAV.exe
kavmm.exe
KAVPF.exe
KavPFW.exe
KAVStart.exe
KAVSvc.exe
KAVSvcUI.EXE
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
licmgr.exe
livesrv.exe
LiveUpdate.exe
LOCKDOWN2000.EXE
LogWatNT.exe
lpfw.exe
LUALL.EXE
LUCallbackProxy.exe
LUCheck.exe
LUCOMSERVER.EXE
LuComServer_3_2.EXE
LuConfig.exe
LUInit.exe
Luupdate.exe
MalwareRemoval.exe
MCAGENT.EXE
mcmnhdlr.exe
mcregwiz.exe
Mcshield.exe
MCUPDATE.EXE
mcvsshld.exe
MemString.exe
MINILOG.EXE
MONITOR.EXE
monlite.exe
MonSysNT.exe
MOOLIVE.EXE
MpEng.exe
mpssvc.exe
MSMPSVC.exe
mva.exe
MVC.exe
myAgtSvc.exe
myagttry.exe
navapsvc.exe
NAVAPW32.EXE
NavLu32.exe
NAVStub.exe
NAVW32.EXE
Navwnt.exe
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NetstatViewer.exe
nisoptui.exe
NISSERV
NISUM.EXE
NMAIN.EXE
nod32.exe
nod32krn.exe
nod32kui.exe
NORMIST.EXE
NotifyHA.exe
notstart.exe
npavtray.exe
NPFMNTOR.EXE
npfmsg.exe
NPROTECT.EXE
NSCHED32.EXE
NSMdtr.exe
NssServ.exe
NssTray.exe
ntoskrnl.exe
ntrtscan.exe
NTXconfig.exe
NUPGRADE.EXE
NVC95.EXE
Nvcod.exe
Nvcte.exe
Nvcut.exe
NWCDEX.EXE
NWService.exe
oasrv.exe
oaui.exe
OfcPfwSvc.exe
olAddin.exe
OnAccessInstaller.exe
osCheck.exe
OUTPOST.EXE
PartIn.exe
PartIn9x.exe
partinfo.exe
PartInNT.exe
PAV.EXE
PavFires.exe
PavFnSvr.exe
Pavkre.exe
PavProt.exe
pavProxy.exe
pavprsrv.exe
pavsrv51.exe
PAVSS.EXE
pccguide.exe
PCCIOMON.EXE
pccntmon.exe
PCCPFW.exe
PcCtlCom.exe
PCTAV.exe
PERSFW.EXE
pertsk.exe
PERVAC.EXE
PM8Flash.exe
PMagic.exe
PMagic9x.exe
PMagicBT.exe
PMagicNT.exe
PNMSRV.EXE
POLUTIL.exe
POP3TRAP.EXE
POPROXY.EXE
postinstall.exe
ppfw.exe
PQBOOT.EXE
Pqboot32.exe
PQBOOTX.EXE
pqbw.exe
PQLAUNCH.EXE
PQMAGIC.EXE
PqPe.exe
pqpe9x.exe
pqpent.exe
preconfig.exe
preupd.exe
prevsrv.exe
PrevxSetup.exe
ProcessViewer.exe
psctrls.exe
pshost.exe
PsImSvc.exe
PTEDIT.EXE
PTEDIT32.EXE
PTEPIT32.EXE
PXAgent.exe
PXConsole.exe
PXL.exe
PXL1.exe
PXReset.exe
pxsupport.exe
QHM32.EXE
QHONLINE.EXE
QHONSVC.EXE
QHPF.EXE
qhwscsvc.exe
qklez.exe
qrtfix.exe
quaranti.exe
RavMon.exe
RavTimer.exe
Realmon.exe
REALMON95.EXE
register.exe
removeit.exe
Remover.exe
Rescue.exe
rfwmain.exe
Rtvscan.exe
RTVSCN95.EXE
RuLaunch.exe
RunSetup.exe
sarcli.exe
sargui.exe
SAV32CLI.EXE
SAVAdminService.exe
SAVMain.exe
savprogress.exe
SAVScan.exe
SCAN32.EXE
scanner.exe
ScanningProcess.exe
sched.exe
sdhelp.exe
sdinvoker.exe
sdloader.exe
SDTrayApp.exe
seccenter.exe
SERVIC~1.EXE
SHSTAT.EXE
sigtool.exe
SiteCli.exe
smc.exe
SNDSrvc.exe
SNUTIL.EXE
SPBBCSvc.exe
SPHINX.EXE
spiderml.exe
spidernt.exe
Spiderui.exe
sporder.exe
SpybotSD.exe
SPYXX.EXE
SS3EDIT.EXE
start_diag.exe
stopsignav.exe
SubmitFiles.exe
svcntaux.exe
swAgent.exe
swdoctor.exe
swdsvc.exe
SWNETSUP.EXE
SymantecRootInstaller.exe
symlcsvc.exe
SymProxySvc.exe
SymSPort.exe
SymWSC.exe
SYNMGR.EXE
Sysinfo.exe
TAUMON.EXE
TBMon.exe
TC.EXE
tca.exe
TCM.EXE
TDS-3.EXE
TeaTimer.exe
TFAK.EXE
tgsvcstp.exe
THAV.EXE
THGnard.exe
THSM.EXE
Tmas.exe
tmlisten.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
tnbutil.exe
tracelog.exe
TRJSCAN.EXE
TrojanGuarder.exe
TrojanHunter.exe
trtddptr.exe
uiscan.exe
UninstallCAVS.exe
Uninstaller.exe
UninstallLSP.exe
unp_test.exe
Up2Date.exe
UPDATE.EXE
UpdaterUI.exe
updclient.exe
upgrepl.exe
UPSObMaker.exe
UUpd.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
VBSNTW.exe
vchk.exe
vcrmon.exe
VetTray.exe
viritexp.exe
viritsvc.exe
VirusKeeper.exe
VirusNews.exe
VistAux.exe
VisthLic.exe
VisthUpd.exe
VPTRAY.EXE
vrfwsvc.exe
VRMONNT.EXE
vrmonsvc.exe
vrrw32.exe
VSECOMR.EXE
Vshwin32.exe
vsmon.exe
vsserv.exe
VsStat.exe
w9xpopen
WATCHDOG.EXE
Wclose.exe
webfiltr.exe
WebProxy.exe
Webscanx.exe
WEBTRAP.EXE
WGFE95.EXE
wil.exe
Winaw32.exe
WindowList.exe
winroute.exe
winss.exe
winssnotify.exe
WRADMIN.EXE
WRCTRL.EXE
writespid.exe
WRPROG.EXE
wsctool.exe
xcommsvr.exe
zatutor.exe
ZAUINST.EXE
zauninst.exe
zlclient.exe
zonealarm.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE

А также останавливает и удаляет службы:

wuauserv
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab
task
Scheduler
alerter
AlertManger
AntiVir
Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati
HotKey
Poller
avast!
Antivirus
avast!
Mail
Scanner
avast!
Web
Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb
client
4476822
BackWeb
Client
7681197
backweb
client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido
security
suite
control
ewido
security
suite
driver
ewido
security
suite
guard
F-Prot
Antivirus
Update
Monitor
F-Secure
Gatekeeper
Handler
Starter
firewall
fsbwsys
FSDFWD
FSFW
FSMA
FSAUA
F-Secure
Gatekeeper
Handler
Starter
FTPFILT.DLL
FwcAgent
fwdrv
Guard
NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee
Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft
NetWork
FireWall
Services
MonSvcNT
MpfService
navapsvc
Ndisuio
NDIS_RD
Network
Associates
Log
Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman
NJeeves
Norman
Type-R
Norman
ZANDA
Norton
AntiVirus
Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak
Manager
Outpost
Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCCPFW
PCC_PFW
PersFW
Personal
Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
wscsvc
Quick
Heal
Online
Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec
AntiVirus
Client
Symantec
Core
LC
The_Hacker_Antivirus
Tmntsrv
TmPfw
tmproxy
tmtdi
tm_cfw
T_H_S_M
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic
AntiVirus
Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
WinDefend
wuauserv
Xcomm

Троянец загружает файл по одной из следующих ссылок:

http://cortinasdoncarlos.com.ar***
http://www.courdesloges.com***
http://aytocristobal.com***
http://cuidatumiembro.com***
http://cyclegolf.com***
http://cycletech.de***
http://maneironsclimb.com***
http://www.etraining.ee***
http://dadivaria.com***
http://dancefrequency.com.br***
http://darioo.altervista.org***
http://daruliftaa.com***
http://datalifecenter.com***
http://datissa.com***
http://www.dbmetric.com***
http://WWW.DDP.COM.PE***
http://www.debmark.com***
http://decastrogil.es***
http://delattres.com***
http://demianaiello.com.ar***
http://demo.portaltapejara.com***
http://derechoydemocracia.es***
http://www.devergo.com***
http://dezaete.nl***
http://dieppeseinemaritime.com***
http://digitalpicture.com***
http://digicromo.com***
http://diocesequebec.qc.ca***
http://divinaclub.com***
http://divinojocelyn.altervista.org***
http://dj-horoz.com***
http://djsoprano.cp.win.pl***
http://djthefox.com***
http://deniselinsconvites.com.br***
http://lotva.org***
http://oliwia.iskierka.org***
http://dospablos.es***
http://dponcemi.altervista.org***
http://drutplast.com.pl***
http://dudys.bx.pl***
http://dukedem.com***
http://dddesignstudio.com***
http://easylimo.es***
http://doctorlife.org***
http://eccesso.es***
http://ecobos.be***
http://www.edenvillage.it***
http://programaseducativos-salamanca.com***
http://www.ekogips.pl***
http://www.ekotap.pl***
http://elelfogris.com***
http://elemco.pl***
http://elitan.pl***
http://passecdl.co.uk***
http://www.elotron.com***
http://elpantalan.es***
http://industriascarnicaselrobledo.com***
http://www.enco-group.cz***
http://energiesport.com***
http://epamateohernandez.com***
http://eravamo100.altervista.org***
http://esf-ct.com***
http://espaciojoven.org***
http://www.espaceprojets-villejuif.fr***
http://www.eszterlancaruhaz.hu***
http://www.etalon-stroy.ru***
http://www.experiment.lv***
http://streetlions.com***
http://www.false-news.com***
http://falshpolcom.18.com1.ru***
http://www.concretosfamasa.com***
http://fermesdemarie.eolas-services.com***
http://fernandoaureliano.com***
http://fetems.org.br***
http://wolfsdonksport.be***
http://filibertovillalobosguijuelo.com***
http://finz-center.com***
http://www.fitdina.com***
http://fiveuk.fi.funpic.org***
http://flabs.net***
http://fomentocredito.es***
http://fortis-sf.home.pl***
http://fotoastur.com***
http://fouadovedia.com***
http://foxx.fan-sites.org***
http://frauen-ratgeber.com***
http://fritschiclean.ch***
http://www.kfzeintragsservice.de***
http://www.autometasuche.de.***
http://www.s-w-services.co.uk***
http://www.bodis.at***
http://www.musikverein-grosswallstadt.de***
http://tripplexwelt.de***
http://www.weingut-giegerich.de***
http://www.tenbrink-online.de***
http://www.alphazip.com***
http://www.kayaks.cz***
http://galami.sk***
http://galateainteriorismo.com***
http://galixesol.com***
http://www.gan-psifas.co.il***
http://robertsandboles.co.nz***
http://gazetaszkolna.edu.pl***
http://gdri.si***
http://generation80.be***
http://www.georg-kuenzle.ch***
http://giannifalco.com***
http://gim24.icx.pl***
http://giresuneczaciodasi.org.tr***
http://girmantasphotography.com***
http://giustiziasicura.org***
http://glodowka.com.pl***
http://202.162.97.63***
http://brzozowa.v24.pl***
http://goldpartner.pl***
http://gomashie.com***
http://go-modaru.21.com1.ru***
http://gravesite.gr.funpic.org***
http://www.gregorvandermark.com***
http://grupoexpansiona.com***
http://grupogolpe.com***
http://ospkarlino.bulls.net.pl***
http://3g-tech-industries.com***
http://guia-aumento-penis.com***
http://guia-femenina.com***
http://guia-feminina.com***
http://guia-ipc.com***
http://guida-allungamento-pene.com***
http://guide-agrandissement-penis.com***
http://guide-feminin.com***
http://jewelrytools.boo.pl***
http://gustavomendonca.com***
http://gusts.net***
http://www.hanyungprinting.co.uk***
http://hawaiicandy.com***
http://hellsquad.net***
http://www.hellsquad.net***
http://hostalhispanico2.com***
http://hostalhispanico.com***

Скачанный файл сохраняется под случайным именем, состоящим из цифр и расширения «.exe», в следующую папку:

%WinDir%\exefqd

Затем он запускается на исполнение.