安全响应·Security
病毒分析报告·Report

Trojan-Downloader.Win32.Bagle.y分析

出处:安天实验室 2006 年 03 月 01 日
安天CERT

病毒标签:

病毒名称: Trojan-Downloader.Win32.Bagle.y
中文名称: 白鸽变种
病毒类型: 木马
文件 MD5: 95FEE1D6C60D58FD5D66AB67EBF1E2C8
公开范围: 完全公开
危害等级: 中
文件长度: 6,133 字节
感染系统: Windows 98及以上版本
开发工具: Microsoft Visual C++
加壳类型: yoda's Crypter
命名对照: Symentec[Trojan.Lodear.l]
      Mcafee[W32/Bagle.gen]
病毒描述:
   该病毒属木马下载类,属白鸽病毒家族的一个变种。病毒使用Windows BMP图标。病毒第一次运行后会打开%system%\ntimage.gif,并在注册表文件中新建一个键值,表示该主机已经被感染,病毒运行后复制自身到%system\anti_troj.exe%下,修改注册表文件,添加到启动项。病毒还会在%windir%目录下是释放一个名为“exefld”的文件夹,病毒尝试连接一些网站并下载病毒相关文件到“exefld”下运行。该病毒对用户有一定的危害。
行为分析:

1、病毒运行后复制自身到:%SYSTEM32%\anti_troj.exe

2、修改注册表文件,添加启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
键值: 字串: "C:\WINNT\System32\anti_troj.exe"

3、病毒第一次运行后会打开%system%\ntimage.gif,并在注册表文件中添加键值,表示该主机已经被感染:
    HKEY_USERS\Software\FirstRRRun\FirstRRRun
    键值: DWORD: 1 (0x1)
4、病毒尝试连接一些网站并且下载病到%WINDOWS%\exefld\< RANDOM NAME >.exe,而后运行。

http://www.bbrealservis.sk/mul.php
http://www.befag.ru/mul.php
http://www.benininfo.com/mul.php
http://www.bennylife.com/mul.php
http://www.bestcheapdomainregistration.info/mul.php
http://www.bidsforbaby.com/mul.php
http://www.binhaigolf.com/mul.php
http://www.biotenk.com/mul.php
http://www.bitsolution.ro/mul.php
http://www.nmtltd.com/mul.php
http://www.vnettools.com/mul.php
http://www.boldrussell.com/mul.php
http://www.bronko-m.ru/mul.php
http://www.bulkemailservicenow.com/mul.php
http://www.bulkemaildirectmarketing.com/mul.php
http://www.calidad.biz/mul.php
http://www.cansew.ca/mul.php
http://www.cansultdubai.ae/mul.php
http://www.casaquecanta.com/mul.php
http://www.chilotitomarino.cl/mul.php
http://www.chinaculturedpearl.com/mul.php
http://www.casino-malibu.ru/mul.php
http://www.colin18.com/mul.php
http://www.khonkaenpoc.com/mul.php
http://www.connectesl.com/mul.php
http://ala-bg.net/mul.php
http://allinfo.com.au/mul.php
http://eleceltek.com/mul.php
http://alevibirligi.ch/mul.php
http://alfaclassic.sk/mul.php
http://allanconi.it/mul.php
http://www.americarising.com/mul.php
http://americasenergyco.com/mul.php
http://amerykaameryka.com/mul.php
http://amistra.com/mul.php
http://analisisyconsultoria.com/mul.php
http://calamarco.com/mul.php

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
   %SYSTEM32%\anti_troj.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
附:
 

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]