Troj_BagleDl-Q

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

BagleDl-Q tente de télécharger un fichier nommé "osa.gif" depuis 153 sites Web distincts.

Lorsqu'il est exécuté, BagleDl-Q se copie dans le dossier système Windows sous le nom de "winshost.exe" et injecte un composant "wiwshost.exe" aussi dans le dossier système Windows. Le composant injecté l'est dans le processus "explorer.exe" pour éviter qu'il y soit mis fin. Les entrées suivantes du registre sont aussi créées par le cheval de Troie de manière à démarrer automatiquement à l'ouverture de session :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe


Le fichier téléchargé est enregistré sous le nom ile.exe dans le dossier Windows. Si le téléchargement était réussi, ce fichier est alors exécuté.

Le cheval de Troie met fin aux processus suivants :
AVExch32Service
AVPCC
AVUPDService
Ahnlab task Scheduler
AlertManger
AvgCore
AvgFsh
AvgServ
AvxIni
BackWeb Client - 7681197
BlackICE
CAISafe
DefWatch
F-Secure Gatekeeper Handler Starter
F-Secure Gatekeeper Handler Starter
FSDFWD
FSMA
FSMA
KAVMonitorService
KAVMonitorService
KLBLMain
MCVSRte
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
MonSvcNT
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
NPFMntor
NProtectService
NSCTOP
NVCScheduler
NWService
Network Associates Log Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
PAVSRV
PCCPFW
PREVSRV
PSIMSVC
PavPrSrv
PavProt
Pavkre
PersFW
SAVFMSE
SAVScan
SAVScan
SAVScan
SBService
SNDSrvc
SPBBCSvc
SWEEPSRV.SYS
SharedAccess
SmcService
SweepNet
Symantec AntiVirus Client
Symantec Core LC
Symantec Core LC
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
XCOMM
alerter
avg7alrt
avg7updsvc
avpcc
awhost32
backweb client - 4476822
backweb client-4476822
ccEvtMgr
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
dvpapi
dvpinit
fsbwsys
fsdfwd
kavsvc
mcupdmgr.exe
navapsvc
navapsvc
navapsvc
navapsvc
nvcoas
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
ravmon8
schscnt
sharedaccess
vsmon
vsmon
wuauserv
wuauserv


BagleDl-Q supprime les entrées du registre depuis les emplacements suivants :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec NetDriver Monitor

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV CfgWiz

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SSC_UserPrompt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee Guardian

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXDWIN

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAV50

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_cc

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_emc

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client

HKLM\SOFTWARE\Symantec

HKLM\SOFTWARE\McAfee

HKLM\SOFTWARE\KasperskyLab

HKLM\SOFTWARE\Agnitum

HKLM\SOFTWARE\Panda Software

HKLM\SOFTWARE\Zone Labs


BagleDl-Q tente de supprimer de tous les lecteurs fixes ou d'y renommer des fichiers ayant l'un des noms suivants :

AUPDATE.EXE
av.dll
Avconsol.exe
avgcc.exe
avgemc.exe
Avsynmgr.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll
CMGrdian.exe
isafe.exe
KAV.exe
kavmm.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
NPFMNTOR.EXE
outpost.exe
RuLaunch.exe
SNDSrvc.exe
SPBBCSvc.exe
symlcsvc.exe
Up2Date.exe
vetredir.dll
Vshwin32.exe
VsStat.exe
vsvault.dll
zatutor.exe
zlavscan.dll
zlclient.exe
zonealarm.exe





http://www.aideinfo.com/