Troj_BagleDl-Q
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
BagleDl-Q tente de télécharger un fichier nommé "osa.gif" depuis 153 sites Web distincts.
Lorsqu'il est exécuté, BagleDl-Q se copie dans le dossier système Windows sous le nom de "winshost.exe" et injecte un composant "wiwshost.exe" aussi dans le dossier système Windows. Le composant injecté l'est dans le processus "explorer.exe" pour éviter qu'il y soit mis fin. Les entrées suivantes du registre sont aussi créées par le cheval de Troie de manière à démarrer automatiquement à l'ouverture de session :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
Le fichier téléchargé est enregistré sous le nom ile.exe dans le dossier Windows. Si le téléchargement était réussi, ce fichier est alors exécuté.
Le cheval de Troie met fin aux processus suivants :
AVExch32Service
AVPCC
AVUPDService
Ahnlab task Scheduler
AlertManger
AvgCore
AvgFsh
AvgServ
AvxIni
BackWeb Client - 7681197
BlackICE
CAISafe
DefWatch
F-Secure Gatekeeper Handler Starter
F-Secure Gatekeeper Handler Starter
FSDFWD
FSMA
FSMA
KAVMonitorService
KAVMonitorService
KLBLMain
MCVSRte
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
MonSvcNT
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
NPFMntor
NProtectService
NSCTOP
NVCScheduler
NWService
Network Associates Log Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
PAVSRV
PCCPFW
PREVSRV
PSIMSVC
PavPrSrv
PavProt
Pavkre
PersFW
SAVFMSE
SAVScan
SAVScan
SAVScan
SBService
SNDSrvc
SPBBCSvc
SWEEPSRV.SYS
SharedAccess
SmcService
SweepNet
Symantec AntiVirus Client
Symantec Core LC
Symantec Core LC
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
XCOMM
alerter
avg7alrt
avg7updsvc
avpcc
awhost32
backweb client - 4476822
backweb client-4476822
ccEvtMgr
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
dvpapi
dvpinit
fsbwsys
fsdfwd
kavsvc
mcupdmgr.exe
navapsvc
navapsvc
navapsvc
navapsvc
nvcoas
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
ravmon8
schscnt
sharedaccess
vsmon
vsmon
wuauserv
wuauserv
BagleDl-Q supprime les entrées du registre depuis les emplacements suivants :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee Guardian
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Zone Labs
BagleDl-Q tente de supprimer de tous les lecteurs fixes ou d'y renommer des fichiers ayant l'un des noms suivants :
AUPDATE.EXE
av.dll
Avconsol.exe
avgcc.exe
avgemc.exe
Avsynmgr.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll
CMGrdian.exe
isafe.exe
KAV.exe
kavmm.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
NPFMNTOR.EXE
outpost.exe
RuLaunch.exe
SNDSrvc.exe
SPBBCSvc.exe
symlcsvc.exe
Up2Date.exe
vetredir.dll
Vshwin32.exe
VsStat.exe
vsvault.dll
zatutor.exe
zlavscan.dll
zlclient.exe
zonealarm.exe
Taille: Inconnue
Détails techniques:
BagleDl-Q tente de télécharger un fichier nommé "osa.gif" depuis 153 sites Web distincts.
Lorsqu'il est exécuté, BagleDl-Q se copie dans le dossier système Windows sous le nom de "winshost.exe" et injecte un composant "wiwshost.exe" aussi dans le dossier système Windows. Le composant injecté l'est dans le processus "explorer.exe" pour éviter qu'il y soit mis fin. Les entrées suivantes du registre sont aussi créées par le cheval de Troie de manière à démarrer automatiquement à l'ouverture de session :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
Le fichier téléchargé est enregistré sous le nom ile.exe dans le dossier Windows. Si le téléchargement était réussi, ce fichier est alors exécuté.
Le cheval de Troie met fin aux processus suivants :
AVExch32Service
AVPCC
AVUPDService
Ahnlab task Scheduler
AlertManger
AvgCore
AvgFsh
AvgServ
AvxIni
BackWeb Client - 7681197
BlackICE
CAISafe
DefWatch
F-Secure Gatekeeper Handler Starter
F-Secure Gatekeeper Handler Starter
FSDFWD
FSMA
FSMA
KAVMonitorService
KAVMonitorService
KLBLMain
MCVSRte
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
MonSvcNT
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
NPFMntor
NProtectService
NSCTOP
NVCScheduler
NWService
Network Associates Log Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
PAVSRV
PCCPFW
PREVSRV
PSIMSVC
PavPrSrv
PavProt
Pavkre
PersFW
SAVFMSE
SAVScan
SAVScan
SAVScan
SBService
SNDSrvc
SPBBCSvc
SWEEPSRV.SYS
SharedAccess
SmcService
SweepNet
Symantec AntiVirus Client
Symantec Core LC
Symantec Core LC
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
XCOMM
alerter
avg7alrt
avg7updsvc
avpcc
awhost32
backweb client - 4476822
backweb client-4476822
ccEvtMgr
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
dvpapi
dvpinit
fsbwsys
fsdfwd
kavsvc
mcupdmgr.exe
navapsvc
navapsvc
navapsvc
navapsvc
nvcoas
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
ravmon8
schscnt
sharedaccess
vsmon
vsmon
wuauserv
wuauserv
BagleDl-Q supprime les entrées du registre depuis les emplacements suivants :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee Guardian
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Zone Labs
BagleDl-Q tente de supprimer de tous les lecteurs fixes ou d'y renommer des fichiers ayant l'un des noms suivants :
AUPDATE.EXE
av.dll
Avconsol.exe
avgcc.exe
avgemc.exe
Avsynmgr.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll
CMGrdian.exe
isafe.exe
KAV.exe
kavmm.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
NAVAPSVC.EXE
NPFMNTOR.EXE
outpost.exe
RuLaunch.exe
SNDSrvc.exe
SPBBCSvc.exe
symlcsvc.exe
Up2Date.exe
vetredir.dll
Vshwin32.exe
VsStat.exe
vsvault.dll
zatutor.exe
zlavscan.dll
zlclient.exe
zonealarm.exe
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
