特洛伊病毒
其它名稱:W32/Bagle!ITW#122 (Wildlist), W32/Bagle-LF (Sophos), W32/Mitglieder.SV (F-Secure), Trojan.Tooso (Symantec), Email-Worm.Win32.Bagle.gi (Kaspersky)
病毒屬性:特洛伊木馬危害性:高危害流行程度:
具體介紹:
病毒特性:
Win32.Mitglieder.DU是一種特洛伊病毒,能夠在被感染機器上打開一個後門,並作為一個SOCKS 4/5代理。特洛伊還會定期的連線與感染相關的信息的網站。病毒的主要運行程式大小為48,728位元組。
感染方式:
病毒的主體程式運行時,會複製到:
%System%\wintems.exe
Mitglieder.DU生成以下註冊表,以確保每次系統啟動時運行病毒:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
SOCKS Proxy
Mitglieder.DU在25552連線埠打開一個SOCKS 4/5代理。
連線站點
Mitglieder.DU定期連結以下站點,這些站點與被感染機器的信息相關。包括運行後門的連線埠號和被感染機器的IP位址。
http://avistrade.ru/prog/img/proizvod/
http://mir-vesov.ru/p/lang/CVS/
http://monomah-city.ru/vakans/
http://pvcps.ru/images/
http://roszvetmet.com/images/
http://schiffsparty.de/bilder/uploads/
http://service6.valuehost.ru/images/
http://stroyindustry.ru/service/construction/
http://vladzernoproduct.ru/control/sell/t/
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/
http://www.deadlygames.de/DG/BF/BF-Links/clans/
http://www.emil-zittau.de/karten/
http://www.etype.hostingcity.net/mysql_admin_new/images/
http://www.levada.ru/htmlarea/images/
http://www.mirage.ru/sport/omega/pic/omega/
http://www.ordendeslichts.de/intern/
http://8marta.ru/img/path/
http://asvt.ru/images/
http://calimasurf.com/images/base/orig/
http://celebrationsinspain.com/images/
http://coral-adventures.com/images/
http://dearruthie.com/images/
http://dmax.ru/images/
http://efpa-eg.net/images/
http://ferrumcomp.ru/images/
http://financialbusiness.ca/images/
http://golden-ring.net/images/
http://goodbathscents.com/images/
http://jamminjo.com/images/
http://kmold.biz/images/
http://kokon.com/images/
http://komt.ru/images/
http://magian.ru/images/
http://merkur-akademie.de/images/
http://nakorable.ru/htdocs/img/
http://optimsasia.com/images/
http://raz-naraz.wz.cz/html/fanklub/
http://redshop.ru/images/
http://sdom.ru/images/
http://spbso.ru/images/
http://tarkan.ru/images/
http://transaerotours.ru/img/
http://www.ipromocionales.com/images/
http://www.katjas-reisen.de/blog/images/colors/
http://www.moscowapartments.ru/images/_vti_cnf/
http://www.pechki.ru/images/
http://www.rhone.ch/images/
http://www.zdom.ru/images/
下載檔案
特洛伊從以下站點每隔1小時下載一個IP位址列表,保存到%System%\ban_list.txt。這個檔案用來連結後門。
http://avistrade.ru/prog/img/proizvod/
http://mir-vesov.ru/p/lang/CVS/
http://monomah-city.ru/vakans/
http://pvcps.ru/images/
http://service6.valuehost.ru/images/
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/
http://trehrechie.ru/images/
http://turnstylesticketing.com/images/
http://twilightzone.cz/distro/
http://vniipo.ru/images/_notes/
http://voelckergmbh.de/images/
http://vserozetki.ru/images/
http://vtr-spb.ru/fp/mikrobus/gazel/
http://www.belteh.ru/images/ludi/
http://www.bmblawfirm.com/images/
http://www.enertelligence.com/playitsafe/images/
http://www.enkor.ru/images/
http://www.g-antssoft.com/images/icon/jpg/blog/
停止並使服務失效
在WindowsXP 和 2000 上,Mitglieder.DU嘗試停止以下服務,並使之失效:
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) service (the "SharedAccess" service), 和 the Security Center service ("wscsvc" - Windows XP Service Pack 2中引入) 在 Windows XP 系統上。
其他信息
特洛伊生成一個名為 '555' 的互斥體,以確保每次只有一個副本運行。它還會生成以下鍵值供它自己使用:
HKCU\SOFTWARE\DateTime4\uid = <Unique ID>
HKCU\SOFTWARE\DateTime4\port = <Port Number>
HKCU\SOFTWARE\DateTime4\wdrn = 1/0- (指出它是一個新的還是一個老的感染。)
清除:
KILL安全胄甲Vet 30.3.3000 版本可檢測/清除此病毒。
相關條目
特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF