Bagle.EF

Létrehozva: 2008-05-16, 13:28:39

Utolsó frissítés: 2009-11-09, 16:43:28

Platform: Win32

Típus: trójai

Méret: 19389

Dátum: 2005-11-28

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Bagle.EF trójai elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Beagle-FU
AVG	I-Worm/Bagle
Avira	TR/Bagle.Gen.B
BitDefender	Dropped:Win32.Bagle.FA@mm
e-Trust	Win32/Baglelike
F-PROT	W32/EmailWorm.MCR
Fortinet	W32/Bagle.FC@mm
F-Secure	Email-Worm.Win32.Bagle.fc
Ikarus	Email-Worm.Win32.Bagle.DK

vírusvédelem	elnevezés
Kaspersky	Email-Worm.Win32.Bagle.fc
McAfee	W32/Bagle.gen(Virus)
NOD32 (ESET)	Win32/Bagle.EF
Microsoft	Win32/Bagle.KW@mm
Norton Antivirus	Trojan.Lodav.C
Panda	W32/Bagle.KV.worm
Rising Antivirus	Worm.Mail.Bagle.vs
Trend Micro	WORM_Generic
VirusBuster	Trojan.DL.Bagle.Gen!Pac7

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Bagle.EF trójai a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat:

winlog.dll
winlog.exe

A Win32/Bagle.EF trójai a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "key2"="C:\WINDOWS\system32\winlog.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "key2"="C:\WINDOWS\system32\winlog.exe"

Annak érdekében, hogy egy féreg, vírus egy esetlegesen a megtámadott számítógépen lévő másik károkozó működését korlátozni tudja, ezért a képesek arra, hogy a rendszerleíró adatbázisból a másik vírusra vagy féregre vonatkozó bejegyzéseket töröljék. Előfordulhat az is, hogy így próbálják elejét venni, hogy egy alkalmazás (például vírusvédelem vagy tűzfal) a gép újraindításával aktivizálódjon.

A Win32/Bagle.EF trójai a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:

[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec]
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab]
[HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum]
[HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software]
teljes lista...

A vírusok, férgek képesek arra, hogy megpróbálják a vírusvédelmi, illetve tűzfalakhoz tartozó folyamatokat leállítani. Ennek kettős célja van: egyrészt megnehezítik, hogy a felhasználó tudomást szerezzen a fertőzésről, másrészt egy esetleges hátsóajtó komponens kijutását is könnyebbé tehetik. Megtehetik azt is, hogy bizonyos, az internetre irányuló forgalmat elterelnek, egyes oldalak elérését megakadályozzák.

A Win32/Bagle.EF trójai leállítja az alábbi folyamatokat:

ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashPopWz.exe
ashSimpl.exe
teljes lista...

ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashPopWz.exe
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
AUPDATE.EXE
Avconsol.exe
avgcc.exe
avgemc.exe
AVGNT.EXE
AVSCHED32.EXE
Avsynmgr.exe
AVWUPD32.EXE
bdmcon.exe
bdnews.exe
bdsubmit.exe
bdswitch.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
CCSETMGR.EXE
ClamTray.exe
ClamWin.exe
CMGrdian.exe
drwadins.exe
drweb32w.exe
drwebscd.exe
drwebupw.exe
freshclam.exe
GUARDGUI.EXE
GuardNT.exe
INETUPD.EXE
InocIT.exe
InoUpTNG.exe
isafe.exe
KAV.exe
kavmm.exe
KAVPF.exe
LUALL.EXE
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
nod32.exe
nod32kui.exe
NPFMNTOR.EXE
npfmsg.exe
Nvcod.exe
Nvcte.exe
Nvcut.exe
outpost.exe
pccguide.exe
PcCtlCom.exe
QHPF.EXE
Realmon.exe
regedit.exe
regedt32.exe
RuLaunch.exe
SNDSrvc.exe
SPBBCSvc.exe
spiderml.exe
symlcsvc.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
Up2Date.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
Vshwin32.exe
VsStat.exe
zatutor.exe
zlclient.exe
taskmgr.exe
zonealarm.exe
advapi32.dll
OpenSCManagerA
OpenServiceA
ControlService
ChangeServiceConfigA
CloseServiceHandle
ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashPopWz.exe
ashShA64.dll
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
AUPDATE.EXE
Avconsol.exe
avgcc.exe
AVGCMSG.DLL
avgemc.exe
AVGNT.EXE
AVSCHED32.DLL
AVSCHED32.EXE
Avsynmgr.exe
AVWUPD32.EXE
BCGCB59.dll
bdmcon.exe
bdnews.exe
bdsubmit.exe
bdswitch.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll
ClamTray.exe
ClamWin.exe
CMGrdian.exe
D2htls32.dll
drwadins.exe
drweb32w.exe
drwebscd.exe
drwebupw.exe
FFJMPWEB.DLL
freshclam.exe
GUARDEVT.DLL
GUARDGUI.EXE
GUARDMSG.DLL
GuardNT.exe
IksysT32.dll
INETUPD.EXE
InocIT.exe
InoOEM.dll
InoOption.dll
InoUpTNG.exe
isafe.exe
KAV.exe
kavmm.exe
KAVPF.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
nod32.exe
nod32api.dll
nod32kui.exe
NPFMNTOR.EXE
npfmsg.exe
Nvccf0D.dll
Nvcevlog.dll
Nvcod.exe
Nvcte.exe
Nvcut.exe
OCONNDLG.DLL
OCOOKDLG.DLL
outpost.exe
pccguide.exe
PcCtlCom.exe
python23.dll
QHPF.EXE
Realmon.exe
RuLaunch.exe
schface.dll
SNDSrvc.exe
SPBBCSvc.exe
spiderml.exe
symlcsvc.exe
T2w32.dll
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
Up2Date.exe
upgrepl.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
vbaifps.dll
vetredir.dll
Vshwin32.exe
VsStat.exe
vsvault.dll
XT1922.dll
Vba32ECM.exe
zatutor.exe
zlavscan.dll
zlclient.exe
zonealarm.exe
vissza...

Egy, a számítógépeket támadó vírus, féreg az elindulást követő aktivizálódás érdekében szolgáltatást (service) is létrehozhat. A szolgáltatások paramétereit is természetesen tartalmazza a rendszerleíró adatbázis (registry). A szolgáltatásokat a Windows XP alatt a Vezérlőpult/Felügyeleti eszközök/Szolgáltatások alatt tekinthetjük meg. A vírusok, férgek a szolgáltatásokat le is állíthatják.

A Win32/Bagle.EF leállítja az alábbi szervizeket:

Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
aswUpdSv
teljes lista...

Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
aswUpdSv
Ati HotKey Poller
avast! Antivirus
AVEService
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
bdss
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
fsbwsys
fsdfwd
FSMA
Guard NT
InoRpc
InoRT
InoTask
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
nipsvc
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
vsserv
wuauserv
xcomm
vissza...

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A trójai módosítja a host fájlt, ezáltal az alábbi webcímek elérhetetlenné válnak:

193.69.114.12
212.113.20.69
213.219.245.4
213.248.60.121
216.200.68.152
teljes lista...

193.69.114.12
212.113.20.69
213.219.245.4
213.248.60.121
216.200.68.152
62.146.66.181
63.210.193.12
84.53.142.22
84.53.142.6
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
antivir.de
anti-virus.by
ar.atwola.com
atdmt.com
avast.com
avira.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
bitdefender.com
bitdefender.ru
ca.com
clamav.net
clamwin.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
database.clamav.net
dispatch.mcafee.com
download.ikarus.at
download.mcafee.com
download.microsoft.com
download25.avast.com
downloadhosting.core.ignum.cz
downloads.avira.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
drweb.com
drweb.ru
engine.awaps.net
esetsoftware.com
fastclick.net
files.referats.net
f-secure.com
ftp.avp.ch
ftp.downloads2.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
ftpav.ca.com
gin.ba.euroweb.sk
go.microsoft.com
grisoft.com
hbedv.com
ids.kaspersky-labs.com
ikarus-software.at
kaspersky.com
kaspersky.ru
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
msk4.drweb.com
my-etrust.com
nai.com
networkassociates.com
niutwo.norman.no
office.microsoft.com
open.by
pandasoftware.com
phx.corporate-ir.net
rads.mcafee.com
ravantivirus.com
report.bitdefender.com
rs02.avast.com
rs03.avast.com
rs06.avast.com
rs07.avast.com
rs08.avast.com
rs10.avast.com
rs11.avast.com
rs18.avast.com
rs20.avast.com
rs24.avast.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sm01.avast.com
sm04.avast.com
sm05.avast.com
sm09.avast.com
sm12.avast.com
sm13.avast.com
sm14.avast.com
sm15.avast.com
sm16.avast.com
sm17.avast.com
sm19.avast.com
sm21.avast.com
sm22.avast.com
sm23.avast.com
sm25.avast.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
updates1.kaspersky-labs.com
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
upgrade.bitdefender.com
us.mcafee.com
vba32.de
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.antivir.de
www.anti-virus.by
www.avast.com
www.avira.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.bitdefender.com
www.bitdefender.ru
www.ca.com
www.clamav.net
www.clamwin.com
www.drweb.com
www.fastclick.net
www.f-secure.com
www.grisoft.com
www.hacksoft.com.pe
www.hbedv.com
www.kaspersky.com
www.kaspersky.ru
www.kaspersky-labs.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.open.by
www.pandasoftware.com
www.ravantivirus.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.vba32.de
www.viruslist.com
www.viruslist.ru
www2.eset.com
www3.ca.com
zak.avira.com
vissza...

Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel

működése során

tevékenység

átnevezi az alábbi fájlokat, amennyiben megtalálja a meghajtókon:

ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashPopWz.exe
ashShA64.dll
teljes lista...