Bagle/Beagle/Trojan.Tooso.R

[Malekal_morte]

La page de désinfection pour cette infection est là : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php
- Bagle utilise des techniques de rootkit
- Bagle supprime les antivirus & firewall de l'ordinateur et empêche leur réinstallation.
- Bagle supprime la clef SafeBoot (il est impossible de redémarrer en mode sans échec).

Surtout ne pas utiliser msconfig pour redémarrer en mode sans échec, sinon Windows va redémarrer en boucle.
Si vous êtes dans ce cas, il faut utiliser la console de restauration et la commande boocfg /rebuild pour reconstruire le boot.ini

Bagle se propage par mail mais aussi via des cracks piégés sur emule (souvent des cracks pour des antivirus).
Il existe des milliers de cracks installant Bagle, encore une fois Arreter de télécharger des cracks!!!.
Les fix de symantec et autres antivirus visent des anciennes variantes d'il y a 3 ans.

Email-Worm.Win32.Bagle.hb/Email-Worm.Win32.Bagle.gz :
Les fichiers créés sont différents selon la variante :
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\hldrrr.exe
c:\Documents and Settings\xxxx\Application Data\hidires\hidr.exe
c:\Documents and Settings\xxxxx\Application Data\hidires\m_hook.sys
ou c:\Documents and Settings\xxxxx\Application Data\hidires\rosa.sys

C:\WINDOWS\exefld\24578312.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\317062.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\324687.exe Infecté : Email-Worm.Win32.Bagle.hb ignoré
C:\WINDOWS\exefld\351687.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\363859.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\429546.exe Infecté : Email-Worm.Win32.Bagle.hb ignoré
C:\WINDOWS\exefld\470093.exe Infecté : Email-Worm.Win32.Bagle.hb ignoré

Variante Email-Worm.Win32.Bagle.iv / 14/08/2007 :
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
c:\WINDOWS\system32\drivers\pci32.sys
c:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\pss



Pour vous en débarrasser, vous pouvez suivre la procédure avec ELIBAGLA de cette page : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php
Vous pouvez ensuite, réinstaller un antivirus, nous vous recommandons d'abandonner Avast! pour Antivir.

Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations : ftopic3123.php

Clairement, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place : http://www.malekal.com/tutorial_antivir.php

La dernière variante affiche un message d'erreur lors du lancement de l'antivirus : "nomdufichierdelantivirus.exe n'est pas une application win32 valide" :

[Malekal_morte]

Un petit blalblalba sur Bagle de la part de Sophos : http://www.sophos.com/security/blog/2007/09/550.html

[Malekal_morte]

Beaucoup de cas Bagle ces derniers temps, les auteurs de malwares ont dû replacer de nouveaux cracks piégés sur Emule.
La procédure de suppression de Bagle a été revue : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php

[Malekal_morte]

Une capture des parties rootkités de Bagle avec gmer



Bagle créé de faux cracks dans un sous-dossier C:\Documents and Settings\Malekal_morte\Application Data\m\shared afin d'être distribué par les clients P2P (Emule)...
Beaucoup d'infections font ceci afin de se propager via P2P, par exemple Trojan-PSW.Win32.Small.bs/Rootkit.Win32.Agent.ef ou Mirar Toolbar/Security Toolbar & Vundo/Virtumonde par Limwire



Exemple de liste des cracks dans le dossier de partage :

Volume in drive C has no label.
Volume Serial Number is 50AB-9771

Directory of C:\Documents and Settings\Malekal_morte\Application Data\m\shared

25/01/2008 18:00 <DIR> .
25/01/2008 18:00 <DIR> ..
25/01/2008 17:52 940ÿ993 24Guru 1.4.zip
25/01/2008 17:52 886ÿ730 3D Dancing Skeleton 1.0 [Key+Serial].zip
25/01/2008 17:52 933ÿ143 3D Valentine Fairies 1.0.zip
25/01/2008 17:49 746ÿ619 70-620 MCTS Windows Vista Certification 8.01.05 (Key+Serial).zip
25/01/2008 17:51 939ÿ070 A1 DVD PSP Video Converter 2.1.46 [Serial].zip
25/01/2008 17:49 759ÿ653 Acronis Snap Deploy 2.0 build 2105 (Cracked).zip
25/01/2008 17:50 912ÿ146 ActiveXplorer 4.0.204 Patch.zip
25/01/2008 17:52 928ÿ224 Advanced Consolidation Manager 1.0.1 [With Crack].zip
25/01/2008 17:50 727ÿ582 Advanced System Optimizer 2.01.4.zip
25/01/2008 17:51 932ÿ992 Antispy Complete 0.9.131.zip
25/01/2008 17:52 855ÿ211 AquaScape 3.3 (KeyGen).zip
25/01/2008 17:52 740ÿ475 Armor2net Personal Firewall 3.123 (Cracked).zip
25/01/2008 17:50 717ÿ577 Ashampoo Photo Commander 5.zip
25/01/2008 17:49 765ÿ803 AstroGrav 1.4.2.zip
25/01/2008 17:51 906ÿ394 AtomPark TagsLock Pro 2.12.zip
25/01/2008 17:52 768ÿ712 Audeon UFO 1 With Crack.zip
25/01/2008 17:49 824ÿ315 Audio Graphing Calculator 2.0.4 [Key].zip
25/01/2008 17:51 818ÿ158 AudioConvert 3.1.125 Key.zip
25/01/2008 17:51 868ÿ680 Axxelerator 2.0 (Key+Serial).zip
25/01/2008 17:50 736ÿ533 Backup4all 3.5 build 231.zip
25/01/2008 17:52 892ÿ367 Barcode Wizard 4.1 (Serial).zip
25/01/2008 17:50 726ÿ443 Batch Screenshooter 1.1.zip
25/01/2008 17:49 748ÿ191 Battlefield 2 Nights Windows server 0.9.zip
25/01/2008 17:51 874ÿ871 Battlefield Vietnam v1.01 client patch.zip
25/01/2008 17:52 884ÿ384 Best of Audubon 1.0.zip
25/01/2008 17:51 772ÿ942 Bitdefender.Internet.Security.v9.0.Build.9.GERMAN.WinALL.Incl.Keymaker.zip
25/01/2008 17:50 806ÿ151 Blade Runner Theme.zip
25/01/2008 17:50 911ÿ862 Book Label 2007 1.0.3 Serial.zip
25/01/2008 17:50 812ÿ140 Build-in RSS Client 1.0.2.294.zip
25/01/2008 17:52 859ÿ906 BurnRights 1.0.2.zip
25/01/2008 17:50 809ÿ379 Business Expense Organizer Deluxe 2.7 [Crack].zip
25/01/2008 17:50 818ÿ049 Business Logos for Company Logo Designer 1.00.zip
25/01/2008 17:52 841ÿ055 Causerie Messenger 2.08.zip
25/01/2008 17:50 895ÿ902 COM@nywhere 3.4 (Serial).zip
25/01/2008 17:52 925ÿ164 Command Creator 3.0 (KeyGen).zip
25/01/2008 17:51 737ÿ363 Crack.Bitdefender.Pro.9.fr.zip
25/01/2008 17:50 732ÿ926 Credit Card Verifier 1.0.zip
25/01/2008 17:52 842ÿ214 ctConvF 1.00 Beta 3.zip
25/01/2008 17:49 929ÿ465 CubeSecurity 2.1 (Crack).zip
25/01/2008 17:49 937ÿ768 Cupid Shots 3.0.zip
25/01/2008 17:49 800ÿ243 DailyHoroscope 1.0.0.1.zip
25/01/2008 17:50 755ÿ891 Daniusoft Video to Audio Converter 1.1.10.zip
25/01/2008 17:52 845ÿ242 DeltaCopy 1.1.zip
25/01/2008 17:49 864ÿ171 Desktop Orbiter 5.0.2.zip
25/01/2008 17:50 844ÿ404 Dewqs' No More Spam 3.1 Patch.zip
25/01/2008 17:52 942ÿ191 Digi.Torah 1.0.1.zip
25/01/2008 17:51 777ÿ850 Directors NotePad 2.0 (KeyGen).zip
25/01/2008 17:51 742ÿ180 DTG Advanced Formatting 2.0.zip
25/01/2008 17:51 931ÿ036 DTPicker.zip
25/01/2008 17:49 806ÿ941 DVD X Player Professional 4.1 (Cracked).zip
25/01/2008 17:49 748ÿ961 DXVUMeterNET 3.0.5.zip
25/01/2008 17:52 769ÿ670 Ela-Salaty 0.2.3.zip
25/01/2008 17:52 718ÿ457 English-Russian @promt Internet Translator 7.zip
25/01/2008 17:51 951ÿ816 eStatsXtreme 1.0 [KeyGen].zip
25/01/2008 17:51 931ÿ385 Exalead onedesktop 4.5.zip
25/01/2008 17:51 900ÿ586 Excel Server 2004 v2.3.1.zip
25/01/2008 17:51 835ÿ668 EXECryptor 2.3.7.zip
25/01/2008 17:52 762ÿ814 Extra GUI ActiveX 1.0.zip
25/01/2008 17:49 896ÿ955 EZ Backup Palm Pro 4.7 Crack.zip
25/01/2008 17:52 836ÿ173 File and Folder Lister 2.zip
25/01/2008 17:51 883ÿ315 FileSplit 2.34 build 424.zip
25/01/2008 17:52 889ÿ213 fireQuest.zip
25/01/2008 17:49 764ÿ799 Flash Slideshow Generator 2.1.6.2 Key+Serial.zip
25/01/2008 17:52 788ÿ042 Focus Free CD Ripper 3.1.zip
25/01/2008 17:51 951ÿ515 Football Scoreboard 1.0.2.zip
25/01/2008 17:51 848ÿ032 FrameCalc 1.01.zip
25/01/2008 17:49 798ÿ296 G3 Player Simple 1.0.26.300.zip
25/01/2008 17:52 892ÿ638 GdsViewer 2.0.129.zip
25/01/2008 17:52 732ÿ401 GermaniXRipper 1.00.407.zip
25/01/2008 17:49 941ÿ469 GetIt FTP 4.2.zip
25/01/2008 17:52 878ÿ762 Guitar Chord Buster 4.3.2 [Patch].zip
25/01/2008 17:52 903ÿ851 Gunman Chronicles Amityhouse map.zip
25/01/2008 17:51 847ÿ101 Handy Day 2005 for Sony Ericsson Skins 1.zip
25/01/2008 17:51 721ÿ274 Hardware Asset Tracker 4.0.zip
25/01/2008 17:52 924ÿ318 Hotphone 2.7.zip
25/01/2008 17:51 759ÿ543 HP0-736 Downloadable Exam Simulator 2.1.zip
25/01/2008 17:50 780ÿ610 HSLAB Sys Monitor Lite 1.3.32.110.zip
25/01/2008 17:50 893ÿ060 i-Commerce Icon Set 2.0 [Patch].zip
25/01/2008 17:49 926ÿ649 IAB Studio Enterprise RIA Server 5.zip
25/01/2008 17:52 842ÿ092 iBeenFramed 1.0.zip
25/01/2008 17:51 785ÿ295 ICEOWS 4.20b.zip
25/01/2008 17:51 833ÿ920 iDrives 1.0.zip
25/01/2008 17:51 800ÿ347 IISKeeper 1.1.zip
25/01/2008 17:51 780ÿ746 Image Batcher 1.0.zip
25/01/2008 17:52 858ÿ182 ImageMatics StillMotion Personal Edition 1858 1.0 KeyGen.zip
25/01/2008 17:52 813ÿ002 Impact Fax Server 7.04.zip
25/01/2008 17:49 763ÿ757 Insight AddressBook 2.0.37.zip
25/01/2008 17:51 944ÿ551 InstaCat 1.0.0.0.zip
25/01/2008 17:51 919ÿ041 IQ Trainer 1.1.zip
25/01/2008 17:49 717ÿ322 iTriTracker 1.5.1.442 [Crack].zip
25/01/2008 17:52 905ÿ209 Javascript PopUp Maker 1.zip
25/01/2008 17:51 852ÿ266 Jobjob.org Toolbar 1.5.0.4.zip
25/01/2008 17:52 926ÿ086 JoyiStar WebShop 2.2.zip
25/01/2008 17:49 802ÿ947 KaraokeKanta 5.0 [Crack].zip
25/01/2008 17:49 740ÿ764 Kaspersky.Anti-Virus.Personal.Pro.v6.0.2006.zip
25/01/2008 17:51 752ÿ942 Kaspersky.Internet.Security.6.0.0.303.crack.zip
25/01/2008 17:49 870ÿ665 KnowledgeWorkshop 1.7.1 [Key].zip
25/01/2008 17:51 913ÿ432 KSP 2006 FINAL With Crack.zip
25/01/2008 17:51 732ÿ906 Lalim MYOB Password Recovery 1.1.0 Key.zip
25/01/2008 17:51 744ÿ011 Lanap BotDetect ASP.NET CAPTCHA 2.0.6.0 (Key+Serial).zip
25/01/2008 17:52 845ÿ577 LinearMath (Motorola) 1.zip
25/01/2008 17:51 754ÿ661 LingvoSoft Talking Picture Dictionary 2007 Russian - Persian (Farsi) 1.1.19 (Serial).zip
25/01/2008 17:51 780ÿ009 Localizer 1.0.1.3.zip
25/01/2008 17:52 752ÿ559 Logictran RTF Converter 5.8.3.zip
25/01/2008 17:51 823ÿ666 LordPE 1.31.zip
25/01/2008 17:52 836ÿ802 MainType 2.1.1.zip
25/01/2008 17:49 801ÿ540 Medic Aid 9.0.1.1.zip
25/01/2008 17:51 765ÿ470 Memorize Website Downloader 1.01 Serial.zip
25/01/2008 17:50 866ÿ586 Men Of War 2.1.zip
25/01/2008 17:51 768ÿ258 Microangelo On Display 6.10.0008.zip
25/01/2008 17:49 741ÿ603 MIDITRIM 1.2.zip
25/01/2008 17:51 876ÿ185 MiniChat 2.50 (Serial).zip
25/01/2008 17:51 856ÿ663 Morpheus 5.4.0.1080 (Key).zip
25/01/2008 17:51 913ÿ577 Movie Title Maker 1.14 (Crack).zip
25/01/2008 17:51 928ÿ805 Moyea DVD to 3GP Converter 1.1.1.0.zip
25/01/2008 17:50 852ÿ098 My FTP 1.3.2.zip
25/01/2008 17:50 938ÿ292 MyRed Button 2.03.zip
25/01/2008 17:52 945ÿ963 NCTDiscWriter ActiveX DLL 1.2 (Crack).zip
25/01/2008 17:52 929ÿ350 NeoScripter Code Editor & Scripting IDE 1.8.2 [Key+Serial].zip
25/01/2008 17:49 887ÿ781 Neverwinter Nights Assassin Shadows in Shander Campaign.zip
25/01/2008 17:51 930ÿ087 NewsSense Desktop 0.9.0.512.zip
25/01/2008 17:52 749ÿ078 NirCmd 2.00.zip
25/01/2008 17:52 814ÿ073 Notation Composer 2.1.zip
25/01/2008 17:49 755ÿ798 Now You're Cooking! 5.82 [Crack].zip
25/01/2008 17:52 942ÿ567 NTRecover 1.0r.zip
25/01/2008 17:49 726ÿ879 Number Base Converter 1.0.zip
25/01/2008 17:51 908ÿ679 OctaGate MailStar 1.0.17 BETA [With Crack].zip
25/01/2008 17:49 879ÿ970 Operation Flashpoint Cold War Crisis - Grenade Launchers moder.zip
25/01/2008 17:50 910ÿ439 OrgChart Professional 4.0.1183.zip
25/01/2008 17:50 828ÿ839 Paraben Gif Animator 2.2.zip
25/01/2008 17:50 816ÿ288 Paradigm PiDataCtl200 2.4.zip
25/01/2008 17:52 790ÿ996 Parts Tracker 2.1.17 [Patch].zip
25/01/2008 17:51 825ÿ459 PDFCat 1.5.1.zip
25/01/2008 17:52 858ÿ271 People Putty 1.1.zip
25/01/2008 17:51 927ÿ377 Pepid EMS- Pre-Hospital Emergency Care 5.0.zip
25/01/2008 17:50 833ÿ268 PestPatrol 4.4.4.81.zip
25/01/2008 17:49 886ÿ436 Photo Builder Standard 5.3.zip
25/01/2008 17:51 925ÿ173 Picture2Web 2.3.1.zip
25/01/2008 18:00 0 pouet.exe
25/01/2008 17:50 859ÿ714 Power AutoPlay Menu Wizard 3.1 build 081006 (Serial).zip
25/01/2008 17:51 876ÿ033 Power Picker 1.01.zip
25/01/2008 17:51 839ÿ646 PowerCAD SiteMaster 2 XP 2.zip
25/01/2008 17:51 782ÿ689 Pre-Book PC Reservation Client (Windows) 1.0.zip
25/01/2008 17:49 845ÿ917 PULPcorder 1.zip
25/01/2008 17:51 860ÿ496 Quake 4 SPstyle mod.zip
25/01/2008 17:51 905ÿ626 Quick Install Maker Pro 2003.02.17.zip
25/01/2008 17:52 754ÿ854 QuickLaunch 2.5 Build 2.5.0.123.zip
25/01/2008 17:51 758ÿ684 QXchange 1.6.2 build 33.zip
25/01/2008 17:50 880ÿ249 Random Submitter 1.00.08.zip
25/01/2008 17:49 742ÿ970 Remote Helpdesk 7.1 [Key+Serial].zip
25/01/2008 17:51 769ÿ726 Row Count Plus Transformation 1.1.0.43.zip
25/01/2008 17:52 834ÿ357 SC Net Speed Booster 4.3.0.0.zip
25/01/2008 17:50 830ÿ269 School Guitar Learning Software 1.zip
25/01/2008 17:50 947ÿ905 Scmpoo 1.0.zip
25/01/2008 17:51 804ÿ247 SE Drawing Extractor 3.6.27.zip
25/01/2008 17:52 867ÿ569 Selida 2.1.zip
25/01/2008 17:51 928ÿ833 Service Query 1.0 Patch.zip
25/01/2008 17:52 858ÿ759 Set Default Printer 2.0.zip
25/01/2008 17:51 821ÿ144 Shania Twain Screensaver 1.0.zip
25/01/2008 17:52 867ÿ513 Sharon Stone Sexy Hot Screensaver 1.zip
25/01/2008 17:49 921ÿ118 Silent Lagoon 5.07 Cracked.zip
25/01/2008 17:52 925ÿ620 Simple File Splitter 1.4.zip
25/01/2008 17:51 874ÿ245 Singapore Uploader 0.3.5.0.zip
25/01/2008 17:50 821ÿ721 SketchMatrix 2.1.0 [Serial].zip
25/01/2008 17:52 817ÿ603 SlippedStream 3.0 [Crack].zip
25/01/2008 17:49 725ÿ873 SmartToolEngine 2.0.a.zip
25/01/2008 17:50 731ÿ717 smsPulse 2.2.1.zip
25/01/2008 17:49 904ÿ833 Softimage XSI Mod Tool 4.2.zip
25/01/2008 17:50 719ÿ083 SoftPepper VideoConverter 1.2.zip
25/01/2008 17:49 831ÿ343 Spain2Go PhraseBook (SH3) 2.5.zip
25/01/2008 17:51 852ÿ153 SQL User Interface (Sui) 0.57.zip
25/01/2008 17:51 727ÿ328 StartScreenSaver (Tray Ed.) 1.zip
25/01/2008 17:50 890ÿ290 Stellar Phoenix SCO UnixWare 1.0.zip
25/01/2008 17:52 860ÿ069 Strenght Training 1.0.zip
25/01/2008 17:52 910ÿ599 Stylus Flash Template 1.0 build 2006.11.17.zip
25/01/2008 17:51 859ÿ742 Swap Machine 1.3.2.9.zip
25/01/2008 17:52 942ÿ343 SwWeek 2.1.zip
25/01/2008 17:51 836ÿ008 Symantec_Antivirus_Corporate_Edition_v10.0.1.1000.zip
25/01/2008 17:51 814ÿ450 SysTree++ 1.7.zip
25/01/2008 17:49 765ÿ570 Tab Counter 1.2.zip
25/01/2008 17:50 935ÿ867 Terminal Services AppLauncher 1.5.zip
25/01/2008 17:51 845ÿ853 TestDisk & PhotoRec (OS X) 6.3.zip
25/01/2008 17:49 898ÿ875 Text Suite Pro with M Player 1.1 3.5.5530.zip
25/01/2008 17:51 843ÿ714 Textweb 1.2 (Patch).zip
25/01/2008 17:49 755ÿ852 The Waterfalls Power Screensaver 1.2 [Serial].zip
25/01/2008 17:49 777ÿ413 TIFF To PDF ActiveX Component 2.0.2007.718.zip
25/01/2008 17:51 811ÿ576 Time Tracker 1.zip
25/01/2008 17:49 928ÿ996 Total Recall 5.1.zip
25/01/2008 17:50 864ÿ137 Trafficdetector 3.2 build 37.zip
25/01/2008 17:49 739ÿ139 Triple Play 98.zip
25/01/2008 17:52 757ÿ631 unWC 3.30 build 1070 [Serial].zip
25/01/2008 17:51 762ÿ818 VIC OnCall Firewall 5.zip
25/01/2008 17:49 936ÿ906 Visual CHM 4.3 KeyGen.zip
25/01/2008 17:51 753ÿ350 WinMX 3.54 Beta 4.zip
25/01/2008 17:51 807ÿ754 Word Viewer OCX 3.1 [Key+Serial].zip
25/01/2008 17:51 927ÿ791 WordBanker English-Croatian 5.1.0.zip
25/01/2008 17:51 843ÿ290 X13-VSA Voice Lie Detector 2.0.2 [Cracked].zip
25/01/2008 17:49 864ÿ737 xStarter 1.8.8.44 Serial.zip
25/01/2008 17:52 893ÿ494 ZoneAlarm with Antivirus 7.1.078.000.zip
199 File(s) 166ÿ047ÿ780 bytes
2 Dir(s) 235ÿ016ÿ192 bytes free

Ceci montre encore le danger des cracks et que ce sont bien un vecteur de propagation d'infection.
Une description détaillée de l'infection Bagle sur Bluetack (en anglais) : http://www.bluetack.co.uk/forums/index. ... opic=18336

[Malekal_morte]

Le scan d'un crack infecté par Bagle, ce matin, la détection est vraiment moyenne.
Certains antivirus plutôt connus ne le détectent pas...

File Synopsis_-_Visual_Programming_Too received on 02.13.2008 09:05:32 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 10/31 (32.26%)

Antivirus Version Last Update Result
AhnLab-V3 2008.2.13.11 2008.02.13 -
AntiVir 7.6.0.65 2008.02.13 TR/Dldr.Bagle.JR
Authentium 4.93.8 2008.02.13 -
Avast 4.7.1098.0 2008.02.13 -
AVG 7.5.0.516 2008.02.12 -
BitDefender 7.2 2008.02.13 -
CAT-QuickHeal None 2008.02.12 -
ClamAV 0.92 2008.02.12 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.02.13 -
eTrust-Vet 31.3.5533 2008.02.13 -
Ewido 4.0 2008.02.12 -
FileAdvisor 1 2008.02.13 -
Fortinet 3.14.0.0 2008.02.13 W32/Bagle.fam!tr.dldr.Themida
F-Prot 4.4.2.54 2008.02.12 -
F-Secure 6.70.13260.0 2008.02.13 Trojan-Downloader.Win32.Bagle.jr
Ikarus T3.1.1.20 2008.02.13 -
Kaspersky 7.0.0.125 2008.02.13 Trojan-Downloader.Win32.Bagle.jr
McAfee 5228 2008.02.12 -
Microsoft 1.3204 2008.02.13 TrojanDownloader:Win32/Bagle.QX
NOD32v2 2870 2008.02.12 -
Norman 5.80.02 2008.02.12 -
Panda 9.0.0.4 2008.02.13 -
Prevx1 V2 2008.02.13 Generic.Malware
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.13 -
Sunbelt 2.2.907.0 2008.02.13 VIPRE.Suspicious
Symantec 10 2008.02.13 -
TheHacker 6.2.9.218 2008.02.12 W32/Behav-Heuristic-064
VBA32 3.12.6.0 2008.02.11 -
VirusBuster 4.3.26:9 2008.02.12 -
Webwasher-Gateway 6.6.2 2008.02.13 Trojan.Dldr.Bagle.JR
Additional information
File size: 720123 bytes
MD5: efb6feabe970f736bbf89cca4f9aa9f4
SHA1: 1d26d1413e8d87bac5a730034c57432f154b2b76
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida

[Malekal_morte]

Un dropper Bagle mal détecté....
Celui qui va télécharger un crack contenant ce dropper, quelque soit l'antivirus... il sera infecté.

Fichier Credit_Card_Manager_2007_2.20_Key reçu le 2008.06.25 19:34:26 (CET)
Situation actuelle: terminé
Résultat: 6/33 (18.18%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.26.0 2008.06.25 -
AntiVir 7.8.0.59 2008.06.25 -
Authentium 5.1.0.4 2008.06.24 W32/Heuristic-THX!Eldorado
Avast 4.8.1195.0 2008.06.25 -
AVG 7.5.0.516 2008.06.25 -
BitDefender 7.2 2008.06.25 -
CAT-QuickHeal 9.50 2008.06.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.25 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.06.25 -
eSafe 7.0.17.0 2008.06.25 -
eTrust-Vet 31.6.5904 2008.06.25 -
Ewido 4.0 2008.06.25 -
F-Prot 4.4.4.56 2008.06.25 W32/Heuristic-THX!Eldorado
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.25 -
GData 2.0.7306.1023 2008.06.25 -
Ikarus T3.1.1.26.0 2008.06.25 -
Kaspersky 7.0.0.125 2008.06.25 -
McAfee 5325 2008.06.25 -
Microsoft 1.3604 2008.06.25 -
NOD32v2 3218 2008.06.25 -
Norman 5.80.02 2008.06.25 -
Panda 9.0.0.4 2008.06.25 -
Prevx1 V2 2008.06.25 Rootkit
Rising 20.50.22.00 2008.06.25 -
Sophos 4.30.0 2008.06.25 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.25 -
TheHacker 6.2.92.361 2008.06.25 -
TrendMicro 8.700.0.1004 2008.06.25 -
VBA32 3.12.6.8 2008.06.25 -
VirusBuster 4.5.11.0 2008.06.23 Packed/Themida
Webwasher-Gateway 6.6.2 2008.06.25 -
Information additionnelle
File size: 684032 bytes
MD5...: 9a96557e31588040da0973172c1e346e
SHA1..: 68c10a3bc4f51d7f960ca3aef1042a5308b06028

Les cracks Bagle ont des icones spécifiques.
A l'heure où sont écrites ces lignes, c'est un drapeau rouge avec une tête de mort, il y a déjà eu des clefs grises/jaunes, une icone verte etc..

Bref il est facile (mais encore faut-il le savoir) de déterminer à l'avance si le crack est piégé...
Enfin il faut décompresser et pas exécuter automatiquement le crack depuis Winrar, ce dernier n'affiche pas les icônes.




EDIT :

Détecté en TR/Dldr.Bagle.SY par Avira :

The file 'Bagle.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Bagle.SY. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.08.

[Malekal_morte]

sUBs a sorti un nouvel outil Beagled qui supprime les variantes Bagle : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

La page de désinfection a été mise à jour pour proposer ce nouvel outil : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php