Данная программа представляет собой троянскую составляющую почтовых червей семейства Email-Worm.Win32.Bagle.
Является приложением Windows (PE EXE-файл). Размер компонентов троянца варьируется в пределах от 200 до 320 КБ.
Инсталляция
При инсталляции троянец копирует свой исполняемый файл в следующую папку:
%System%\drivers\hidr.exe
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "drvsyskit" = "%System%\drivers\hidr.exe"
Также троянец создает ключ реестра, в котором хранит свои настройки:
[HKCU\Software\FirstRRRun]
Затем программа извлекает из своего исполняемого файла rootkit-драйвер:
%System%\drivers\srosa.sys
Троянец создает службу с именем «Megadrv3», которая при каждой загрузке Windows запускает извлеченный драйвер.
При помощи установленного rootkit-драйвера троянец скрывает свои файлы на жестком диске и записи в системном реестре, а также свой процесс в списке системных процессов.
Деструктивная активность
Троянец завершает следующие процессы:
a2cmd.exe a2guard.exe a2HiJackFree.exe a2scan.exe a2service.exe a2start.exe a2upd.exe a2wizard.exe aavshield.exe About.exe AckWin32.exe ADVCHK.EXE Agb5.exe Agb5_.exe AhnSD.exe airdefense.exe ALERTSVC.EXE ALMon.exe ALOGSERV.EXE ALsvc.exe ALUNOTIFY.EXE amon.exe Anti-Trojan.exe AntiVirScheduler AntiVirService AntiVirus.exe ANTS.EXE APVXDWIN.EXE Armor2net.exe ash.exe ashAvast.exe ashAvSrv.exe ashchest.exe ashDisp.exe ashDug.exe ashEnhcd.exe ashLogV.exe ashMaiSv.exe ashPopWz.exe ashQuick.exe ashServ.exe ashsimp2.exe ashSimpl.exe ashSkPcc.exe ashSkPck.exe ashUpd.exe ashWebSv.exe ash_UpdateMediator.exe aswRegSvr.exe aswUpdSv.exe ATCON.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AutostartExplorer.exe AUTOTRACE.EXE AUTOUPDATE.EXE avadmin.exe avcenter.exe avciman.exe avcmd.exe avconfig.exe Avconsol.exe AVENGINE.EXE avgamsvr.exe avgcc.exe AVGCC32.EXE AVGCTRL.EXE avgdiag.exe avgemc.exe avgfwsrv.exe avginet.exe avgnpdln.exe avgnpsvc.exe AVGNT.EXE avgntdd avgntmgr avgrssvc.exe avgscan.exe AVGSERV.EXE AVGUARD.EXE avgupden.exe avgupsvc.exe avgvv.exe avgw.exe avgwizfw.exe avinitnt.exe AvkServ.exe AVKService.exe AVKWCtl.exe avnotify.exe AVP.EXE AVP32.EXE avpcc.exe avpm.exe AVPUPD.EXE avscan.exe AVSCHED32.EXE avsynmgr.exe AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE BackWeb-4476822.exe bdagent.exe bdmcon.exe bdnews.exe bdoesrv.exe bdss.exe bdsubmit.exe bdsubmitwiz.exe BDSurvey.exe bdswitch.exe bdwizreg.exe blackd.exe blackice.exe blindman.exe BTIni.exe BTIniNT.exe cafix.exe CavApp.exe CaVasm.exe CavAUD.exe CavEmSrv.exe Cavmr.exe CavMUD.exe Cavoar.exe CavQ.exe CAVSCons.exe cavse.exe CavSn.exe CavSub.exe CAVSubmit.exe CavUMAS.exe CavUserUpd.exe Cavvl.exe ccApp.exe ccEvtMgr.exe ccProxy.exe ccSetMgr.exe CEmRep.exe CFIAUDIT.EXE CHKDSK.EXE clamscan.exe ClamTray.exe ClamWin.exe Claw95.exe Claw95cf.exe cleaner.exe cleaner3.exe CliSvc.exe CMain.exe CMGrdian.exe copyx64.exe cpd.exe cssexc.exe custinstall.exe custsetup.exe defensewall.exe DefWatch.exe dislite.exe DOORS.EXE dpatrolq.exe drvctl.exe DrVirus.exe DrvMap.exe drwadins.exe drweb32w.exe drweb386.exe drwebscd.exe DRWEBUPW.EXE drwebwcl.exe drwreg.exe ecmd.exe egni.exe ekrn.exe EMM386.EXE ESCANH95.EXE ESCANHNT.EXE ewidoctrl.exe exit_av.exe EzAntivirusRegistrationCheck.exe F-AGNT95.EXE F-PROT95.EXE F-Sched.exe F-StopW.EXE FAMEH32.exe FAST.EXE FCH32.exe firebird.exe FireSvc.exe FireTray.exe FIREWALL.EXE FLOPPY.EXE FLOPPY9x.EXE FLOPPYME.EXE FPAVServer.exe fpavupdm.exe FProtTray.exe fpscan.exe fptrayproc.exe FPWin.exe freshclam.exe FRW.EXE fsample.exe fsaua.exe fsauach.exe fsav.exe fsav32.exe fsavaui.exe fsavgui.exe fsavstrt.exe fsavwsch.exe fsavwscr.exe fsbwsys.exe fsdbuh.exe fsdc.exe fsdfwd.exe FSDIAG.exe FsDiagUi.exe fsfwwsch.exe fsfwwscr.exe fsgetwab.exe fsgk32.exe fsgk32st.exe fsguidll.exe fsguiexe.exe FSHDLL32.exe fshelp.exe FSHOTFIX.exe fsihcomp.exe fsihs.exe FSIMAGE.EXE FSLAUNCH.exe FSM32.exe FSMA32.exe FSMB32.exe fspc.exe fspex.exe fsqh.exe fssf.exe fssg.exe fssm32.exe fsstm.exe fssw.exe fstlui.exe fsuninst.exe fsus.exe gcasDtServ.exe gcasServ.exe GIANTAntiSpywareMain.exe GIANTAntiSpywareUpdater.exe GUARD.EXE guardgni.exe GUARDGUI.EXE GuardNT.exe helper.exe hipsdiag.exe HRegMon.exe Hrres.exe HSockPE.exe HUpdate.EXE iamapp.exe iamserv.exe ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IERegFix.exe IFACE.EXE ih8.exe ih8run.exe ILAUNCHR.exe INETUPD.EXE InocIT.exe InoRpc.exe InoRT.exe InoTask.exe InoUpTNG.exe InstallCAVS.exe InstallLicense.exe InstallLSP.exe InstLsp.exe INWISE.EXE IOMON98.EXE isafe.exe ISATRAY.EXE ISPNews.exe isPwdsvc.exe ISRV95.EXE ISSVC.exe isUAC.exe JEDI.EXE KAV.exe kavmm.exe KAVPF.exe KavPFW.exe KAVStart.exe KAVSvc.exe KAVSvcUI.EXE KMailMon.EXE KPfwSvc.EXE KWatch.EXE licmgr.exe livesrv.exe LiveUpdate.exe LOCKDOWN2000.EXE LogWatNT.exe lpfw.exe LUALL.EXE LUCallbackProxy.exe LUCheck.exe LUCOMSERVER.EXE LuComServer_3_2.EXE LuConfig.exe LUInit.exe Luupdate.exe MalwareRemoval.exe MCAGENT.EXE mcmnhdlr.exe mcregwiz.exe Mcshield.exe MCUPDATE.EXE mcvsshld.exe MemString.exe MINILOG.EXE MONITOR.EXE monlite.exe MonSysNT.exe MOOLIVE.EXE MpEng.exe mpssvc.exe MSMPSVC.exe mva.exe MVC.exe myAgtSvc.exe myagttry.exe navapsvc.exe NAVAPW32.EXE NavLu32.exe NAVStub.exe NAVW32.EXE Navwnt.exe NDD32.EXE NeoWatchLog.exe NeoWatchTray.exe NetstatViewer.exe nisoptui.exe NISSERV NISUM.EXE NMAIN.EXE nod32.exe nod32krn.exe nod32kui.exe NORMIST.EXE NotifyHA.exe notstart.exe npavtray.exe NPFMNTOR.EXE npfmsg.exe NPROTECT.EXE NSCHED32.EXE NSMdtr.exe NssServ.exe NssTray.exe ntoskrnl.exe ntrtscan.exe NTXconfig.exe NUPGRADE.EXE NVC95.EXE Nvcod.exe Nvcte.exe Nvcut.exe NWCDEX.EXE NWService.exe oasrv.exe oaui.exe OfcPfwSvc.exe olAddin.exe OnAccessInstaller.exe osCheck.exe OUTPOST.EXE PartIn.exe PartIn9x.exe partinfo.exe PartInNT.exe PAV.EXE PavFires.exe PavFnSvr.exe Pavkre.exe PavProt.exe pavProxy.exe pavprsrv.exe pavsrv51.exe PAVSS.EXE pccguide.exe PCCIOMON.EXE pccntmon.exe PCCPFW.exe PcCtlCom.exe PCTAV.exe PERSFW.EXE pertsk.exe PERVAC.EXE PM8Flash.exe PMagic.exe PMagic9x.exe PMagicBT.exe PMagicNT.exe PNMSRV.EXE POLUTIL.exe POP3TRAP.EXE POPROXY.EXE postinstall.exe ppfw.exe PQBOOT.EXE Pqboot32.exe PQBOOTX.EXE pqbw.exe PQLAUNCH.EXE PQMAGIC.EXE PqPe.exe pqpe9x.exe pqpent.exe preconfig.exe preupd.exe prevsrv.exe PrevxSetup.exe ProcessViewer.exe psctrls.exe pshost.exe PsImSvc.exe PTEDIT.EXE PTEDIT32.EXE PTEPIT32.EXE PXAgent.exe PXConsole.exe PXL.exe PXL1.exe PXReset.exe pxsupport.exe QHM32.EXE QHONLINE.EXE QHONSVC.EXE QHPF.EXE qhwscsvc.exe qklez.exe qrtfix.exe quaranti.exe RavMon.exe RavTimer.exe Realmon.exe REALMON95.EXE register.exe removeit.exe Remover.exe Rescue.exe rfwmain.exe Rtvscan.exe RTVSCN95.EXE RuLaunch.exe RunSetup.exe sarcli.exe sargui.exe SAV32CLI.EXE SAVAdminService.exe SAVMain.exe savprogress.exe SAVScan.exe SCAN32.EXE scanner.exe ScanningProcess.exe sched.exe sdhelp.exe sdinvoker.exe sdloader.exe SDTrayApp.exe seccenter.exe SERVIC~1.EXE SHSTAT.EXE sigtool.exe SiteCli.exe smc.exe SNDSrvc.exe SNUTIL.EXE SPBBCSvc.exe SPHINX.EXE spiderml.exe spidernt.exe Spiderui.exe sporder.exe SpybotSD.exe SPYXX.EXE SS3EDIT.EXE start_diag.exe stopsignav.exe SubmitFiles.exe svcntaux.exe swAgent.exe swdoctor.exe swdsvc.exe SWNETSUP.EXE SymantecRootInstaller.exe symlcsvc.exe SymProxySvc.exe SymSPort.exe SymWSC.exe SYNMGR.EXE Sysinfo.exe TAUMON.EXE TBMon.exe TC.EXE tca.exe TCM.EXE TDS-3.EXE TeaTimer.exe TFAK.EXE tgsvcstp.exe THAV.EXE THGnard.exe THSM.EXE Tmas.exe tmlisten.exe Tmntsrv.exe TmPfw.exe tmproxy.exe tnbutil.exe tracelog.exe TRJSCAN.EXE TrojanGuarder.exe TrojanHunter.exe trtddptr.exe uiscan.exe UninstallCAVS.exe Uninstaller.exe UninstallLSP.exe unp_test.exe Up2Date.exe UPDATE.EXE UpdaterUI.exe updclient.exe upgrepl.exe UPSObMaker.exe UUpd.exe Vba32ECM.exe Vba32ifs.exe vba32ldr.exe Vba32PP3.exe VBSNTW.exe vchk.exe vcrmon.exe VetTray.exe viritexp.exe viritsvc.exe VirusKeeper.exe VirusNews.exe VistAux.exe VisthLic.exe VisthUpd.exe VPTRAY.EXE vrfwsvc.exe VRMONNT.EXE vrmonsvc.exe vrrw32.exe VSECOMR.EXE Vshwin32.exe vsmon.exe vsserv.exe VsStat.exe w9xpopen WATCHDOG.EXE Wclose.exe webfiltr.exe WebProxy.exe Webscanx.exe WEBTRAP.EXE WGFE95.EXE wil.exe Winaw32.exe WindowList.exe winroute.exe winss.exe winssnotify.exe WRADMIN.EXE WRCTRL.EXE writespid.exe WRPROG.EXE wsctool.exe xcommsvr.exe zatutor.exe ZAUINST.EXE zauninst.exe zlclient.exe zonealarm.exe _AVP32.EXE _AVPCC.EXE _AVPM.EXE
А также останавливает и удаляет службы:
wuauserv
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab
task
Scheduler
alerter
AlertManger
AntiVir
Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati
HotKey
Poller
avast!
Antivirus
avast!
Scanner
avast!
Web
Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb
client
4476822
BackWeb
Client
7681197
backweb
client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido
security
suite
control
ewido
security
suite
driver
ewido
security
suite
guard
F-Prot
Antivirus
Update
Monitor
F-Secure
Gatekeeper
Handler
Starter
firewall
fsbwsys
FSDFWD
FSFW
FSMA
FSAUA
F-Secure
Gatekeeper
Handler
Starter
FTPFILT.DLL
FwcAgent
fwdrv
Guard
NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee
Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft
NetWork
FireWall
Services
MonSvcNT
MpfService
navapsvc
Ndisuio
NDIS_RD
Network
Associates
Log
Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman
NJeeves
Norman
Type-R
Norman
ZANDA
Norton
AntiVirus
Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak
Manager
Outpost
Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCCPFW
PCC_PFW
PersFW
Personal
Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
wscsvc
Quick
Heal
Online
Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec
AntiVirus
Client
Symantec
Core
LC
The_Hacker_Antivirus
Tmntsrv
TmPfw
tmproxy
tmtdi
tm_cfw
T_H_S_M
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic
AntiVirus
Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
WinDefend
wuauserv
Xcomm
Троянец загружает файл по одной из следующих ссылок:
http://cortinasdoncarlos.com.ar*** http://www.courdesloges.com*** http://aytocristobal.com*** http://cuidatumiembro.com*** http://cyclegolf.com*** http://cycletech.de*** http://maneironsclimb.com*** http://www.etraining.ee*** http://dadivaria.com*** http://dancefrequency.com.br*** http://darioo.altervista.org*** http://daruliftaa.com*** http://datalifecenter.com*** http://datissa.com*** http://www.dbmetric.com*** http://WWW.DDP.COM.PE*** http://www.debmark.com*** http://decastrogil.es*** http://delattres.com*** http://demianaiello.com.ar*** http://demo.portaltapejara.com*** http://derechoydemocracia.es*** http://www.devergo.com*** http://dezaete.nl*** http://dieppeseinemaritime.com*** http://digitalpicture.com*** http://digicromo.com*** http://diocesequebec.qc.ca*** http://divinaclub.com*** http://divinojocelyn.altervista.org*** http://dj-horoz.com*** http://djsoprano.cp.win.pl*** http://djthefox.com*** http://deniselinsconvites.com.br*** http://lotva.org*** http://oliwia.iskierka.org*** http://dospablos.es*** http://dponcemi.altervista.org*** http://drutplast.com.pl*** http://dudys.bx.pl*** http://dukedem.com*** http://dddesignstudio.com*** http://easylimo.es*** http://doctorlife.org*** http://eccesso.es*** http://ecobos.be*** http://www.edenvillage.it*** http://programaseducativos-salamanca.com*** http://www.ekogips.pl*** http://www.ekotap.pl*** http://elelfogris.com*** http://elemco.pl*** http://elitan.pl*** http://passecdl.co.uk*** http://www.elotron.com*** http://elpantalan.es*** http://industriascarnicaselrobledo.com*** http://www.enco-group.cz*** http://energiesport.com*** http://epamateohernandez.com*** http://eravamo100.altervista.org*** http://esf-ct.com*** http://espaciojoven.org*** http://www.espaceprojets-villejuif.fr*** http://www.eszterlancaruhaz.hu*** http://www.etalon-stroy.ru*** http://www.experiment.lv*** http://streetlions.com*** http://www.false-news.com*** http://falshpolcom.18.com1.ru*** http://www.concretosfamasa.com*** http://fermesdemarie.eolas-services.com*** http://fernandoaureliano.com*** http://fetems.org.br*** http://wolfsdonksport.be*** http://filibertovillalobosguijuelo.com*** http://finz-center.com*** http://www.fitdina.com*** http://fiveuk.fi.funpic.org*** http://flabs.net*** http://fomentocredito.es*** http://fortis-sf.home.pl*** http://fotoastur.com*** http://fouadovedia.com*** http://foxx.fan-sites.org*** http://frauen-ratgeber.com*** http://fritschiclean.ch*** http://www.kfzeintragsservice.de*** http://www.autometasuche.de.*** http://www.s-w-services.co.uk*** http://www.bodis.at*** http://www.musikverein-grosswallstadt.de*** http://tripplexwelt.de*** http://www.weingut-giegerich.de*** http://www.tenbrink-online.de*** http://www.alphazip.com*** http://www.kayaks.cz*** http://galami.sk*** http://galateainteriorismo.com*** http://galixesol.com*** http://www.gan-psifas.co.il*** http://robertsandboles.co.nz*** http://gazetaszkolna.edu.pl*** http://gdri.si*** http://generation80.be*** http://www.georg-kuenzle.ch*** http://giannifalco.com*** http://gim24.icx.pl*** http://giresuneczaciodasi.org.tr*** http://girmantasphotography.com*** http://giustiziasicura.org*** http://glodowka.com.pl*** http://202.162.97.63*** http://brzozowa.v24.pl*** http://goldpartner.pl*** http://gomashie.com*** http://go-modaru.21.com1.ru*** http://gravesite.gr.funpic.org*** http://www.gregorvandermark.com*** http://grupoexpansiona.com*** http://grupogolpe.com*** http://ospkarlino.bulls.net.pl*** http://3g-tech-industries.com*** http://guia-aumento-penis.com*** http://guia-femenina.com*** http://guia-feminina.com*** http://guia-ipc.com*** http://guida-allungamento-pene.com*** http://guide-agrandissement-penis.com*** http://guide-feminin.com*** http://jewelrytools.boo.pl*** http://gustavomendonca.com*** http://gusts.net*** http://www.hanyungprinting.co.uk*** http://hawaiicandy.com*** http://hellsquad.net*** http://www.hellsquad.net*** http://hostalhispanico2.com*** http://hostalhispanico.com***
Скачанный файл сохраняется под случайным именем, состоящим из цифр и расширения «.exe», в следующую папку:
%WinDir%\exefqd
Затем он запускается на исполнение.