Aliasuri: Email-Worm.Win32.Bagle.dn (Kaspersky), W32/Bagle.gen (McAfee), W32.Beagle.CG@mm (Symantec), TR/Bagle.Gen.B (Avira), W32/Bagle- AR (Sophos),

Platformă: Windows 98, ME, 2000, XP, Server 2003

Pentru a obține o privire cuprinzătoare asupra comportamentului acestui troian, consultați diagrama de comportament prezentată mai jos.

Trend Micro

Prezentare generală a programelor malware

La fel ca variantele anterioare BAGLE, acest vierme folosește o componentă troiană pentru a se propaga. Face acest lucru trimițând mesaje de e-mail care conțin copii ale TROJ_BAGLE.DA pentru a viza destinatarii utilizând propriul motor SMTP.

Astfel, utilizatorii trebuie să fie atenți la mesajele care conțin următoarele detalii:

Conținutul mesajului: (oricare dintre următoarele)
• pret nou
• Parola:
• Preț
• Parola este

Atașament: (oricare dintre următoarele fișiere .ZIP)
• 09_price.zip
• new__price.zip
• new_price.zip
• Newprice.zip
• preț.zip
• price2.zip
• preț_09.zip
• price_new.zip

(Notă: fișierul .ZIP atașat conține copia TROJ_BAGLE.DA.)

Mai jos este un exemplu de mesaj de e-mail pe care acest vierme îl trimite:

Este remarcabil, totuși, că spre deosebire de variantele anterioare în care atașamentul troian este cel care descarcă o copie a acestui vierme în sistemul afectat, TROJ_BAGLE.DA folosește un alt malware pentru a efectua această rutină. Trend Micro detectează acest alt program de descărcare ca TROJ_DLOADER.ACT.

Acest vierme previne, de asemenea, executarea viermilor NETSKY pe sistemul afectat prin crearea mai multor mutexe. Mai mult, încearcă să dezactiveze orice aplicații antivirus și de securitate instalate pe aparat prin ștergerea mai multor intrări de registru legate de aceste programe.

Acest vierme încearcă, de asemenea, să descarce anumite fișiere de pe mai multe site-uri web. Cu toate acestea, începând cu această scriere, aceste site-uri web sunt deja inaccesibile.

Pentru informații suplimentare despre această amenințare, consultați:

Descriere creată: Sept. 19, 2005 10:56:12 GMT -0800

DETALII TEHNICE

Sarcina utilă 2: Dezactivează aplicațiile antivirus și de securitate

Sarcina utilă 3: șterge cheile de registru și intrările

Starea declanșatorului 1: dacă data sistemului este mai târziu de 23 septembrie 2009

Acest vierme rezident în memorie ajunge de obicei pe un sistem ca fișier descărcat de TROJ_DLOADER.ACT. Pe de altă parte, acest troian este descărcat pe sistem de un alt malware pe care Trend Micro îl detectează ca TROJ_BAGLE.DA.

La executare, acest vierme lasă o copie a sa în folderul de sistem Windows ca fișier WINDLL2.EXE. Apoi creează următoarele chei de registru și intrări:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

HKEY_CURRENT_USER \ Software \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

HKEY_USERS \ .DEFAULT \ Software \ Microsoft \
Windows \ CurrentVersion \ Ru1n
erthegdr = "% System% \ windll2.exe"

(Notă:% System% este folderul de sistem Windows, care este de obicei C: \ Windows \ System pe Windows 98 și ME, C: \ WINNT \ System32 pe Windows NT și 2000 sau C: \ Windows \ System32 pe Windows XP și 2003)

Cu toate acestea, nu creează nicio intrare de registry corectă de pornire automată. Astfel, acest vierme nu este capabil să ruleze la pornirea sistemului de succes.

Propagarea prin e-mail

Acest vierme se răspândește prin trimiterea de mesaje de e-mail care conțin copii ale TROJ_BAGLE.DA către destinatarii care utilizează propriul motor SMTP. Trojan-ul menționat descarcă apoi TROJ_DLOADER.ACT, care, la rândul său, descarcă o copie a acestui vierme în sistemul afectat.

Mesajele de e-mail pe care le trimite acest vierme conțin următoarele detalii: >>> U Analiza de: Alvin Jethro Calderon Bacani

Actualizat de: Raymond Richard Bautista Gamboa

Istoricul reviziilor:

Prima versiune a fișierului tipar: 2.849.00
Data lansării primului fișier tipar: 19 septembrie 2005
20 septembrie 2005 - Raport asupra virusului modificat

SOLUŢIE

Notă importantă: „Motorul de scanare minim” se referă la cea mai veche versiune a motorului de scanare Trend Micro garantată pentru a detecta această amenințare. Cu toate acestea, Trend Micro vă recomandă să actualizați la cea mai recentă versiune pentru a obține o protecție cuprinzătoare. Descărcați cel mai recent motor de scanare de aici.

Notă: Pentru a elimina complet toate programele malware asociate, efectuați soluțiile curate pentru următoarele:

  • TROJ_BAGLE.DA
  • TROJ_DLOADER.ACT

Încheierea programului malware

Această procedură pune capăt procesului malware care rulează.

Dacă procesul pe care îl căutați nu se află în lista afișată de Task Manager, treceți la setul de soluții care urmează.

  1. Deschideți Managerul de activități Windows.
    • Pe Windows 98 și ME, presa
    CTRL% 20ALT% 20DELETE
    • Pe Windows 2000, XP și Server 2003, presa
    CTRL% 20SHIFT% 20ESC, apoi faceți clic pe fila Procese.
  2. În lista programelor care rulează *, localizați procesul:
    WINDLL2.EXE
  3. Selectați procesul malware, apoi apăsați fie butonul End Task, fie butonul End Process, în funcție de versiunea de Windows din sistemul dvs.
  4. Pentru a verifica dacă procesul malware a fost încheiat, închideți Managerul de activități, apoi deschideți-l din nou.
  5. Închideți Managerul de activități.
* NOTĂ: Pe sistemele care rulează Windows 98 și ME, Windows Task Manager poate nu arată anumite procese. Puteți utiliza un vizualizator de proces terță parte, cum ar fi Process Explorer, pentru a termina procesul malware. În caz contrar, continuați cu următoarea procedură, notând instrucțiuni suplimentare. Dacă ai fost nu capabil să încheie procesul malware așa cum este descris în procedura anterioară, reporniți sistemul.

Editarea registrului

Acest malware modifică registrul sistemului. Utilizatorii afectați de acest malware pot avea nevoie să modifice sau să șteargă anumite chei de registru sau intrări. Pentru informații detaliate privind editarea registrului, vă rugăm să consultați următoarele articole de la Microsoft:

Eliminarea cheilor adăugate din registru

Dacă cheile de registry de mai jos nu sunt găsite, este posibil ca programele malware să nu fi fost executate de la detectare. Dacă da, continuați cu setul de soluții care urmează.

  1. Deschideți Editorul registrului. Faceți clic pe Start> Executare, tastați REGEDIT, apoi apăsați Enter.
  2. În panoul din stânga, faceți dublu clic pe următoarele:
    HKEY_LOCAL_MACHINE> SOFTWARE> Microsoft>
    Windows> CurrentVersion
  3. În panoul din stânga, localizați și ștergeți cheia:
    Ru1n
  4. În panoul din stânga, faceți dublu clic pe următoarele:
    HKEY_CURRENT_USER> Software> Microsoft>
    Windows> CurrentVersion
  5. În panoul din stânga, localizați și ștergeți cheia:
    Ru1n
  6. În panoul din stânga, faceți dublu clic pe următoarele:
    HKEY_USERS> .DEFAULT> Software> Microsoft>
    Windows> CurrentVersion
  7. În panoul din stânga, localizați și ștergeți cheia:
    Ru1n
  8. Închideți Editorul registrului.

Instrucțiuni importante de curățare Windows ME/XP

Utilizatorii care rulează Windows ME și XP trebuie dezactivați Restaurarea sistemului pentru a permite scanarea completă a sistemelor infectate.

Utilizatorii care rulează alte versiuni de Windows pot continua cu seturile de proceduri succesive.

Rularea Trend Micro Antivirus

Scanați-vă sistemul cu antivirusul Trend Micro și ștergeți fișierele detectate ca WORM_BAGLE.DA. Pentru a face acest lucru, clienții Trend Micro trebuie să descarce cel mai recent fișier de tip virus și să scaneze sistemul lor. Alți utilizatori de internet pot folosi HouseCall, scanerul online de viruși Trend Micro.

Trend Micro oferă cele mai bune soluții antivirus și de securitate a conținutului pentru rețeaua dvs. corporativă, întreprinderile mici și mijlocii, dispozitivul mobil sau computerul de acasă.