Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
BagleDl-R inclut des fonctionnalités permettant de :
- injecter son code dans EXPLORER.EXE
- modifier le fichier HOSTS
- désactiver d'autres logiciels, y compris les applications antivirus, pare-feu et de sécurité
Lorsqu'il est exécuté, BagleDl-R se copie dans %System%\winshost.exe et crée le fichier %System%\wiwshost.exe.
Pour exécuter winshost.exe au démarrage, les entrées suivantes du registre sont aussi créées :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winshost.exe
%System%\winshost.exe
Des entrées de registre sont paramétrées comme suit :
HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start
00000004
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
00000004
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
00000004
BagleDl-R crée une nouvelle version du fichier HOSTS. Généralement, le nouveau fichier HOSTS contient la chaîne suivante : 127.0.0.1 localhost
BagleDl-R tente aussi de modifier ou de supprimer les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee Guardian
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Zone Labs Client
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Zone Labs
BagleDl-R tente ensuite de télécharger des fichiers depuis des sites web distants et de les exécuter.
BagleDl-R peut aussi exécuter MSPAINT.EXE dans le but de passer inaperçu.