安全响应·Security
病毒分析报告·Report

Trojan-Downloader.Win32.Bagle.f分析

出处:安天实验室 2005 年 12 月 14 日
安天CERT

病毒标签:

病毒名称: Trojan-Downloader.Win32.Bagle.f
病毒类型: 木马
文件 MD5: 41E345ADD5B37218D760FA9678DEEB12
公开范围: 完全公开
危害等级: 中
文件长度: 9,725 字节
感染系统: windows 98 及以上版本
开发工具: Visual C++
加壳类型: 未知壳
命名对照: Symentec[Trojan.Lodear.D]
      Mcafee[W32/Bagle.gen]
病毒描述:
  该病毒属木马下载类,属白鸽病毒家族的一个变种。病毒使用Windows BMP图标。病毒第一次运行后会打开%system%\ntimage.gif,并在注册表文件中新建一个键值,表示该主机已经被感染,病毒运行后复制自身到%system\anti_troj.exe%下,修改注册表文件,添加到启动项。病毒还会在%windir%目录下是释放一个名为“exefld”的文件夹,病毒尝试连接一些网站并下载病毒相关文件到“exefld”下运行。
行为分析:

1、病毒运行后会释放病毒文件: %System%\anti_troj.exe

2、修改注册表文件,添加启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
键值: 字串: "C:\WINNT\System32\anti_troj.exe"

3、病毒第一次运行后会打开%system%\ntimage.gif,并在注册表文件中添加键值,表示该主机已经被感染:

HKEY_USERS\Software\FirstRRRun\FirstRRRun
键值: DWORD: 1 (0x1)

4、病毒尝试连接一些网站并且下载病毒相关文件到本地运行%windir%exefld下运行,网站列表如下:

http://s89.***edu.tw
http://ph***g.org
http://www.***as-mode.de
http://75***.ru
http://www.8***lan.hu
http://okl***.co.jp
http://ada***ue.net
http://cco***tomadrid.org
http://abt***safety.com
http://80.***.233.41
http://www.***h.serwery.pl
http://www.***.co.il
http://vi***.kei.pl
http://www.b***jndepot.com
http://209.***.128.203
http://www.t***trol.com.pl
......

http://www.a2zh***ngs.com
http://www.a***is.hu
http://abt***fety.com
http://***acentrum.pl
http://www.a***ant-np.ru
http://fur***oba.info
http://adopti***nada.ca
http://65.108.***.73
http://tkd***.net
http://www.***.pl
http://advente***up.com
http://sacaft***rk.net http://agen***publicidadinternet.com http://www.***oturystyka.artneo.pl
http://kep***.kz
http://ahava.***e24.com

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用“任务管理器”关闭病毒进程。

(2) 删除病毒文件:%System%\anti_troj.exe%windir%exefld

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
  \CurrentVersion\Run\anti_tro
  键值: 字串: "C:\WINNT\System32\anti_troj.exe"
  HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
  \Run\anti_troj
  键值: 字串: "C:\WINNT\System32\anti_troj.exe"
  HKEY_USERS\Software\FirstRRRun\FirstRRRun
  键值: DWORD: 1 (0x1)
附:
 

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]