Troj_BagleDl-R
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
BagleDl-R inclut des fonctionnalités permettant de :
- injecter son code dans EXPLORER.EXE
- modifier le fichier HOSTS
- désactiver d'autres logiciels, y compris les applications antivirus, pare-feu et de sécurité
Lorsqu'il est exécuté, BagleDl-R se copie dans %System%\winshost.exe et crée le fichier %System%\wiwshost.exe.
Pour exécuter winshost.exe au démarrage, les entrées suivantes du registre sont aussi créées :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
Des entrées de registre sont paramétrées comme suit :
HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start
00000004
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
00000004
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
00000004
BagleDl-R crée une nouvelle version du fichier HOSTS. Généralement, le nouveau fichier HOSTS contient la chaîne suivante : 127.0.0.1 localhost
BagleDl-R tente aussi de modifier ou de supprimer les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee Guardian
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Zone Labs
BagleDl-R tente ensuite de télécharger des fichiers depuis des sites web distants et de les exécuter.
BagleDl-R peut aussi exécuter MSPAINT.EXE dans le but de passer inaperçu.
Taille: Inconnue
Détails techniques:
BagleDl-R inclut des fonctionnalités permettant de :
- injecter son code dans EXPLORER.EXE
- modifier le fichier HOSTS
- désactiver d'autres logiciels, y compris les applications antivirus, pare-feu et de sécurité
Lorsqu'il est exécuté, BagleDl-R se copie dans %System%\winshost.exe et crée le fichier %System%\wiwshost.exe.
Pour exécuter winshost.exe au démarrage, les entrées suivantes du registre sont aussi créées :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
Des entrées de registre sont paramétrées comme suit :
HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start
00000004
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
00000004
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
00000004
BagleDl-R crée une nouvelle version du fichier HOSTS. Généralement, le nouveau fichier HOSTS contient la chaîne suivante : 127.0.0.1 localhost
BagleDl-R tente aussi de modifier ou de supprimer les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee Guardian
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Zone Labs
BagleDl-R tente ensuite de télécharger des fichiers depuis des sites web distants et de les exécuter.
BagleDl-R peut aussi exécuter MSPAINT.EXE dans le but de passer inaperçu.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
