Bagle/Beagle/Trojan.Tooso.R

[Malekal_morte]

La page de désinfection pour cette infection est là : https://www.malekal.com/2010/11/12/supp ... n-tooso-r/
- Bagle utilise des techniques de rootkit
- Bagle supprime les antivirus & firewall de l'ordinateur et empêche leur réinstallation.
- Bagle supprime la clef SafeBoot (il est impossible de redémarrer en mode sans échec).

Surtout ne pas utiliser msconfig pour redémarrer en mode sans échec, sinon Windows va redémarrer en boucle.
Si vous êtes dans ce cas, il faut utiliser la console de restauration et la commande boocfg /rebuild pour reconstruire le boot.ini

Bagle se propage par mail mais aussi via des cracks piégés sur emule (souvent des cracks pour des antivirus).
Il existe des milliers de cracks installant Bagle, encore une fois Arreter de télécharger des cracks!!!.
Les fix de symantec et autres antivirus visent des anciennes variantes d'il y a 3 ans.

Email-Worm.Win32.Bagle.hb/Email-Worm.Win32.Bagle.gz :
Les fichiers créés sont différents selon la variante :
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\hldrrr.exe
c:\Documents and Settings\xxxx\Application Data\hidires\hidr.exe
c:\Documents and Settings\xxxxx\Application Data\hidires\m_hook.sys
ou c:\Documents and Settings\xxxxx\Application Data\hidires\rosa.sys

C:\WINDOWS\exefld\24578312.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\317062.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\324687.exe Infecté : Email-Worm.Win32.Bagle.hb ignoré
C:\WINDOWS\exefld\351687.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\363859.exe Infecté : Email-Worm.Win32.Bagle.gz ignoré
C:\WINDOWS\exefld\429546.exe Infecté : Email-Worm.Win32.Bagle.hb ignoré
C:\WINDOWS\exefld\470093.exe Infecté : Email-Worm.Win32.Bagle.hb ignoré

Variante Email-Worm.Win32.Bagle.iv / 14/08/2007 :
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
c:\WINDOWS\system32\drivers\pci32.sys
c:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\pss



Pour vous en débarrasser, vous pouvez suivre la procédure avec ELIBAGLA de cette page : https://www.malekal.com/W32.Beagle.KF_T ... ooso.R.php
Vous pouvez ensuite, réinstaller un antivirus, nous vous recommandons d'abandonner Avast! pour Antivir.

Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations : http://forum.malekal.com/un-point-sur-l ... t3123.html

Clairement, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place : https://www.malekal.com/tutorial_antivir.php

La dernière variante affiche un message d'erreur lors du lancement de l'antivirus : "nomdufichierdelantivirus.exe n'est pas une application win32 valide" :



Une vidéo sur Bagle et les cracks :

[Malekal_morte]

Un petit blalblalba sur Bagle de la part de Sophos : http://www.sophos.com/security/blog/2007/09/550.html

[Malekal_morte]

Beaucoup de cas Bagle ces derniers temps, les auteurs de malwares ont dû replacer de nouveaux cracks piégés sur Emule.
La procédure de suppression de Bagle a été revue : https://www.malekal.com/W32.Beagle.KF_T ... ooso.R.php

[Malekal_morte]

Une capture des parties rootkités de Bagle avec gmer



Bagle créé de faux cracks dans un sous-dossier C:\Documents and Settings\Malekal_morte\Application Data\m\shared afin d'être distribué par les clients P2P (Emule)...
Beaucoup d'infections font ceci afin de se propager via P2P, par exemple Trojan-PSW.Win32.Small.bs/Rootkit.Win32.Agent.ef ou Mirar Toolbar/Security Toolbar & Vundo/Virtumonde par Limwire



Exemple de liste des cracks dans le dossier de partage :

Volume in drive C has no label.
Volume Serial Number is 50AB-9771

Directory of C:\Documents and Settings\Malekal_morte\Application Data\m\shared

25/01/2008 18:00 <DIR> .
25/01/2008 18:00 <DIR> ..
25/01/2008 17:52 940ÿ993 24Guru 1.4.zip
25/01/2008 17:52 886ÿ730 3D Dancing Skeleton 1.0 [Key+Serial].zip
25/01/2008 17:52 933ÿ143 3D Valentine Fairies 1.0.zip
25/01/2008 17:49 746ÿ619 70-620 MCTS Windows Vista Certification 8.01.05 (Key+Serial).zip
25/01/2008 17:51 939ÿ070 A1 DVD PSP Video Converter 2.1.46 [Serial].zip
25/01/2008 17:49 759ÿ653 Acronis Snap Deploy 2.0 build 2105 (Cracked).zip
25/01/2008 17:50 912ÿ146 ActiveXplorer 4.0.204 Patch.zip
25/01/2008 17:52 928ÿ224 Advanced Consolidation Manager 1.0.1 [With Crack].zip
25/01/2008 17:50 727ÿ582 Advanced System Optimizer 2.01.4.zip
25/01/2008 17:51 932ÿ992 Antispy Complete 0.9.131.zip
25/01/2008 17:52 855ÿ211 AquaScape 3.3 (KeyGen).zip
25/01/2008 17:52 740ÿ475 Armor2net Personal Firewall 3.123 (Cracked).zip
25/01/2008 17:50 717ÿ577 Ashampoo Photo Commander 5.zip
25/01/2008 17:49 765ÿ803 AstroGrav 1.4.2.zip
25/01/2008 17:51 906ÿ394 AtomPark TagsLock Pro 2.12.zip
25/01/2008 17:52 768ÿ712 Audeon UFO 1 With Crack.zip
25/01/2008 17:49 824ÿ315 Audio Graphing Calculator 2.0.4 [Key].zip
25/01/2008 17:51 818ÿ158 AudioConvert 3.1.125 Key.zip
25/01/2008 17:51 868ÿ680 Axxelerator 2.0 (Key+Serial).zip
25/01/2008 17:50 736ÿ533 Backup4all 3.5 build 231.zip
25/01/2008 17:52 892ÿ367 Barcode Wizard 4.1 (Serial).zip
25/01/2008 17:50 726ÿ443 Batch Screenshooter 1.1.zip
25/01/2008 17:49 748ÿ191 Battlefield 2 Nights Windows server 0.9.zip
25/01/2008 17:51 874ÿ871 Battlefield Vietnam v1.01 client patch.zip
25/01/2008 17:52 884ÿ384 Best of Audubon 1.0.zip
25/01/2008 17:51 772ÿ942 Bitdefender.Internet.Security.v9.0.Build.9.GERMAN.WinALL.Incl.Keymaker.zip
25/01/2008 17:50 806ÿ151 Blade Runner Theme.zip
25/01/2008 17:50 911ÿ862 Book Label 2007 1.0.3 Serial.zip
25/01/2008 17:50 812ÿ140 Build-in RSS Client 1.0.2.294.zip
25/01/2008 17:52 859ÿ906 BurnRights 1.0.2.zip
25/01/2008 17:50 809ÿ379 Business Expense Organizer Deluxe 2.7 [Crack].zip
25/01/2008 17:50 818ÿ049 Business Logos for Company Logo Designer 1.00.zip
25/01/2008 17:52 841ÿ055 Causerie Messenger 2.08.zip
25/01/2008 17:50 895ÿ902 COM@nywhere 3.4 (Serial).zip
25/01/2008 17:52 925ÿ164 Command Creator 3.0 (KeyGen).zip
25/01/2008 17:51 737ÿ363 Crack.Bitdefender.Pro.9.fr.zip
25/01/2008 17:50 732ÿ926 Credit Card Verifier 1.0.zip
25/01/2008 17:52 842ÿ214 ctConvF 1.00 Beta 3.zip
25/01/2008 17:49 929ÿ465 CubeSecurity 2.1 (Crack).zip
25/01/2008 17:49 937ÿ768 Cupid Shots 3.0.zip
25/01/2008 17:49 800ÿ243 DailyHoroscope 1.0.0.1.zip
25/01/2008 17:50 755ÿ891 Daniusoft Video to Audio Converter 1.1.10.zip
25/01/2008 17:52 845ÿ242 DeltaCopy 1.1.zip
25/01/2008 17:49 864ÿ171 Desktop Orbiter 5.0.2.zip
25/01/2008 17:50 844ÿ404 Dewqs' No More Spam 3.1 Patch.zip
25/01/2008 17:52 942ÿ191 Digi.Torah 1.0.1.zip
25/01/2008 17:51 777ÿ850 Directors NotePad 2.0 (KeyGen).zip
25/01/2008 17:51 742ÿ180 DTG Advanced Formatting 2.0.zip
25/01/2008 17:51 931ÿ036 DTPicker.zip
25/01/2008 17:49 806ÿ941 DVD X Player Professional 4.1 (Cracked).zip
25/01/2008 17:49 748ÿ961 DXVUMeterNET 3.0.5.zip
25/01/2008 17:52 769ÿ670 Ela-Salaty 0.2.3.zip
25/01/2008 17:52 718ÿ457 English-Russian @promt Internet Translator 7.zip
25/01/2008 17:51 951ÿ816 eStatsXtreme 1.0 [KeyGen].zip
25/01/2008 17:51 931ÿ385 Exalead onedesktop 4.5.zip
25/01/2008 17:51 900ÿ586 Excel Server 2004 v2.3.1.zip
25/01/2008 17:51 835ÿ668 EXECryptor 2.3.7.zip
25/01/2008 17:52 762ÿ814 Extra GUI ActiveX 1.0.zip
25/01/2008 17:49 896ÿ955 EZ Backup Palm Pro 4.7 Crack.zip
25/01/2008 17:52 836ÿ173 File and Folder Lister 2.zip
25/01/2008 17:51 883ÿ315 FileSplit 2.34 build 424.zip
25/01/2008 17:52 889ÿ213 fireQuest.zip
25/01/2008 17:49 764ÿ799 Flash Slideshow Generator 2.1.6.2 Key+Serial.zip
25/01/2008 17:52 788ÿ042 Focus Free CD Ripper 3.1.zip
25/01/2008 17:51 951ÿ515 Football Scoreboard 1.0.2.zip
25/01/2008 17:51 848ÿ032 FrameCalc 1.01.zip
25/01/2008 17:49 798ÿ296 G3 Player Simple 1.0.26.300.zip
25/01/2008 17:52 892ÿ638 GdsViewer 2.0.129.zip
25/01/2008 17:52 732ÿ401 GermaniXRipper 1.00.407.zip
25/01/2008 17:49 941ÿ469 GetIt FTP 4.2.zip
25/01/2008 17:52 878ÿ762 Guitar Chord Buster 4.3.2 [Patch].zip
25/01/2008 17:52 903ÿ851 Gunman Chronicles Amityhouse map.zip
25/01/2008 17:51 847ÿ101 Handy Day 2005 for Sony Ericsson Skins 1.zip
25/01/2008 17:51 721ÿ274 Hardware Asset Tracker 4.0.zip
25/01/2008 17:52 924ÿ318 Hotphone 2.7.zip
25/01/2008 17:51 759ÿ543 HP0-736 Downloadable Exam Simulator 2.1.zip
25/01/2008 17:50 780ÿ610 HSLAB Sys Monitor Lite 1.3.32.110.zip
25/01/2008 17:50 893ÿ060 i-Commerce Icon Set 2.0 [Patch].zip
25/01/2008 17:49 926ÿ649 IAB Studio Enterprise RIA Server 5.zip
25/01/2008 17:52 842ÿ092 iBeenFramed 1.0.zip
25/01/2008 17:51 785ÿ295 ICEOWS 4.20b.zip
25/01/2008 17:51 833ÿ920 iDrives 1.0.zip
25/01/2008 17:51 800ÿ347 IISKeeper 1.1.zip
25/01/2008 17:51 780ÿ746 Image Batcher 1.0.zip
25/01/2008 17:52 858ÿ182 ImageMatics StillMotion Personal Edition 1858 1.0 KeyGen.zip
25/01/2008 17:52 813ÿ002 Impact Fax Server 7.04.zip
25/01/2008 17:49 763ÿ757 Insight AddressBook 2.0.37.zip
25/01/2008 17:51 944ÿ551 InstaCat 1.0.0.0.zip
25/01/2008 17:51 919ÿ041 IQ Trainer 1.1.zip
25/01/2008 17:49 717ÿ322 iTriTracker 1.5.1.442 [Crack].zip
25/01/2008 17:52 905ÿ209 Javascript PopUp Maker 1.zip
25/01/2008 17:51 852ÿ266 Jobjob.org Toolbar 1.5.0.4.zip
25/01/2008 17:52 926ÿ086 JoyiStar WebShop 2.2.zip
25/01/2008 17:49 802ÿ947 KaraokeKanta 5.0 [Crack].zip
25/01/2008 17:49 740ÿ764 Kaspersky.Anti-Virus.Personal.Pro.v6.0.2006.zip
25/01/2008 17:51 752ÿ942 Kaspersky.Internet.Security.6.0.0.303.crack.zip
25/01/2008 17:49 870ÿ665 KnowledgeWorkshop 1.7.1 [Key].zip
25/01/2008 17:51 913ÿ432 KSP 2006 FINAL With Crack.zip
25/01/2008 17:51 732ÿ906 Lalim MYOB Password Recovery 1.1.0 Key.zip
25/01/2008 17:51 744ÿ011 Lanap BotDetect ASP.NET CAPTCHA 2.0.6.0 (Key+Serial).zip
25/01/2008 17:52 845ÿ577 LinearMath (Motorola) 1.zip
25/01/2008 17:51 754ÿ661 LingvoSoft Talking Picture Dictionary 2007 Russian - Persian (Farsi) 1.1.19 (Serial).zip
25/01/2008 17:51 780ÿ009 Localizer 1.0.1.3.zip
25/01/2008 17:52 752ÿ559 Logictran RTF Converter 5.8.3.zip
25/01/2008 17:51 823ÿ666 LordPE 1.31.zip
25/01/2008 17:52 836ÿ802 MainType 2.1.1.zip
25/01/2008 17:49 801ÿ540 Medic Aid 9.0.1.1.zip
25/01/2008 17:51 765ÿ470 Memorize Website Downloader 1.01 Serial.zip
25/01/2008 17:50 866ÿ586 Men Of War 2.1.zip
25/01/2008 17:51 768ÿ258 Microangelo On Display 6.10.0008.zip
25/01/2008 17:49 741ÿ603 MIDITRIM 1.2.zip
25/01/2008 17:51 876ÿ185 MiniChat 2.50 (Serial).zip
25/01/2008 17:51 856ÿ663 Morpheus 5.4.0.1080 (Key).zip
25/01/2008 17:51 913ÿ577 Movie Title Maker 1.14 (Crack).zip
25/01/2008 17:51 928ÿ805 Moyea DVD to 3GP Converter 1.1.1.0.zip
25/01/2008 17:50 852ÿ098 My FTP 1.3.2.zip
25/01/2008 17:50 938ÿ292 MyRed Button 2.03.zip
25/01/2008 17:52 945ÿ963 NCTDiscWriter ActiveX DLL 1.2 (Crack).zip
25/01/2008 17:52 929ÿ350 NeoScripter Code Editor & Scripting IDE 1.8.2 [Key+Serial].zip
25/01/2008 17:49 887ÿ781 Neverwinter Nights Assassin Shadows in Shander Campaign.zip
25/01/2008 17:51 930ÿ087 NewsSense Desktop 0.9.0.512.zip
25/01/2008 17:52 749ÿ078 NirCmd 2.00.zip
25/01/2008 17:52 814ÿ073 Notation Composer 2.1.zip
25/01/2008 17:49 755ÿ798 Now You're Cooking! 5.82 [Crack].zip
25/01/2008 17:52 942ÿ567 NTRecover 1.0r.zip
25/01/2008 17:49 726ÿ879 Number Base Converter 1.0.zip
25/01/2008 17:51 908ÿ679 OctaGate MailStar 1.0.17 BETA [With Crack].zip
25/01/2008 17:49 879ÿ970 Operation Flashpoint Cold War Crisis - Grenade Launchers moder.zip
25/01/2008 17:50 910ÿ439 OrgChart Professional 4.0.1183.zip
25/01/2008 17:50 828ÿ839 Paraben Gif Animator 2.2.zip
25/01/2008 17:50 816ÿ288 Paradigm PiDataCtl200 2.4.zip
25/01/2008 17:52 790ÿ996 Parts Tracker 2.1.17 [Patch].zip
25/01/2008 17:51 825ÿ459 PDFCat 1.5.1.zip
25/01/2008 17:52 858ÿ271 People Putty 1.1.zip
25/01/2008 17:51 927ÿ377 Pepid EMS- Pre-Hospital Emergency Care 5.0.zip
25/01/2008 17:50 833ÿ268 PestPatrol 4.4.4.81.zip
25/01/2008 17:49 886ÿ436 Photo Builder Standard 5.3.zip
25/01/2008 17:51 925ÿ173 Picture2Web 2.3.1.zip
25/01/2008 18:00 0 pouet.exe
25/01/2008 17:50 859ÿ714 Power AutoPlay Menu Wizard 3.1 build 081006 (Serial).zip
25/01/2008 17:51 876ÿ033 Power Picker 1.01.zip
25/01/2008 17:51 839ÿ646 PowerCAD SiteMaster 2 XP 2.zip
25/01/2008 17:51 782ÿ689 Pre-Book PC Reservation Client (Windows) 1.0.zip
25/01/2008 17:49 845ÿ917 PULPcorder 1.zip
25/01/2008 17:51 860ÿ496 Quake 4 SPstyle mod.zip
25/01/2008 17:51 905ÿ626 Quick Install Maker Pro 2003.02.17.zip
25/01/2008 17:52 754ÿ854 QuickLaunch 2.5 Build 2.5.0.123.zip
25/01/2008 17:51 758ÿ684 QXchange 1.6.2 build 33.zip
25/01/2008 17:50 880ÿ249 Random Submitter 1.00.08.zip
25/01/2008 17:49 742ÿ970 Remote Helpdesk 7.1 [Key+Serial].zip
25/01/2008 17:51 769ÿ726 Row Count Plus Transformation 1.1.0.43.zip
25/01/2008 17:52 834ÿ357 SC Net Speed Booster 4.3.0.0.zip
25/01/2008 17:50 830ÿ269 School Guitar Learning Software 1.zip
25/01/2008 17:50 947ÿ905 Scmpoo 1.0.zip
25/01/2008 17:51 804ÿ247 SE Drawing Extractor 3.6.27.zip
25/01/2008 17:52 867ÿ569 Selida 2.1.zip
25/01/2008 17:51 928ÿ833 Service Query 1.0 Patch.zip
25/01/2008 17:52 858ÿ759 Set Default Printer 2.0.zip
25/01/2008 17:51 821ÿ144 Shania Twain Screensaver 1.0.zip
25/01/2008 17:52 867ÿ513 Sharon Stone Sexy Hot Screensaver 1.zip
25/01/2008 17:49 921ÿ118 Silent Lagoon 5.07 Cracked.zip
25/01/2008 17:52 925ÿ620 Simple File Splitter 1.4.zip
25/01/2008 17:51 874ÿ245 Singapore Uploader 0.3.5.0.zip
25/01/2008 17:50 821ÿ721 SketchMatrix 2.1.0 [Serial].zip
25/01/2008 17:52 817ÿ603 SlippedStream 3.0 [Crack].zip
25/01/2008 17:49 725ÿ873 SmartToolEngine 2.0.a.zip
25/01/2008 17:50 731ÿ717 smsPulse 2.2.1.zip
25/01/2008 17:49 904ÿ833 Softimage XSI Mod Tool 4.2.zip
25/01/2008 17:50 719ÿ083 SoftPepper VideoConverter 1.2.zip
25/01/2008 17:49 831ÿ343 Spain2Go PhraseBook (SH3) 2.5.zip
25/01/2008 17:51 852ÿ153 SQL User Interface (Sui) 0.57.zip
25/01/2008 17:51 727ÿ328 StartScreenSaver (Tray Ed.) 1.zip
25/01/2008 17:50 890ÿ290 Stellar Phoenix SCO UnixWare 1.0.zip
25/01/2008 17:52 860ÿ069 Strenght Training 1.0.zip
25/01/2008 17:52 910ÿ599 Stylus Flash Template 1.0 build 2006.11.17.zip
25/01/2008 17:51 859ÿ742 Swap Machine 1.3.2.9.zip
25/01/2008 17:52 942ÿ343 SwWeek 2.1.zip
25/01/2008 17:51 836ÿ008 Symantec_Antivirus_Corporate_Edition_v10.0.1.1000.zip
25/01/2008 17:51 814ÿ450 SysTree++ 1.7.zip
25/01/2008 17:49 765ÿ570 Tab Counter 1.2.zip
25/01/2008 17:50 935ÿ867 Terminal Services AppLauncher 1.5.zip
25/01/2008 17:51 845ÿ853 TestDisk & PhotoRec (OS X) 6.3.zip
25/01/2008 17:49 898ÿ875 Text Suite Pro with M Player 1.1 3.5.5530.zip
25/01/2008 17:51 843ÿ714 Textweb 1.2 (Patch).zip
25/01/2008 17:49 755ÿ852 The Waterfalls Power Screensaver 1.2 [Serial].zip
25/01/2008 17:49 777ÿ413 TIFF To PDF ActiveX Component 2.0.2007.718.zip
25/01/2008 17:51 811ÿ576 Time Tracker 1.zip
25/01/2008 17:49 928ÿ996 Total Recall 5.1.zip
25/01/2008 17:50 864ÿ137 Trafficdetector 3.2 build 37.zip
25/01/2008 17:49 739ÿ139 Triple Play 98.zip
25/01/2008 17:52 757ÿ631 unWC 3.30 build 1070 [Serial].zip
25/01/2008 17:51 762ÿ818 VIC OnCall Firewall 5.zip
25/01/2008 17:49 936ÿ906 Visual CHM 4.3 KeyGen.zip
25/01/2008 17:51 753ÿ350 WinMX 3.54 Beta 4.zip
25/01/2008 17:51 807ÿ754 Word Viewer OCX 3.1 [Key+Serial].zip
25/01/2008 17:51 927ÿ791 WordBanker English-Croatian 5.1.0.zip
25/01/2008 17:51 843ÿ290 X13-VSA Voice Lie Detector 2.0.2 [Cracked].zip
25/01/2008 17:49 864ÿ737 xStarter 1.8.8.44 Serial.zip
25/01/2008 17:52 893ÿ494 ZoneAlarm with Antivirus 7.1.078.000.zip
199 File(s) 166ÿ047ÿ780 bytes
2 Dir(s) 235ÿ016ÿ192 bytes free

Ceci montre encore le danger des cracks et que ce sont bien un vecteur de propagation d'infection.
Une description détaillée de l'infection Bagle sur Bluetack (en anglais) : http://www.bluetack.co.uk/forums/index. ... opic=18336

[Malekal_morte]

Le scan d'un crack infecté par Bagle, ce matin, la détection est vraiment moyenne.
Certains antivirus plutôt connus ne le détectent pas...

File Synopsis_-_Visual_Programming_Too received on 02.13.2008 09:05:32 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 10/31 (32.26%)

Antivirus Version Last Update Result
AhnLab-V3 2008.2.13.11 2008.02.13 -
AntiVir 7.6.0.65 2008.02.13 TR/Dldr.Bagle.JR
Authentium 4.93.8 2008.02.13 -
Avast 4.7.1098.0 2008.02.13 -
AVG 7.5.0.516 2008.02.12 -
BitDefender 7.2 2008.02.13 -
CAT-QuickHeal None 2008.02.12 -
ClamAV 0.92 2008.02.12 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.02.13 -
eTrust-Vet 31.3.5533 2008.02.13 -
Ewido 4.0 2008.02.12 -
FileAdvisor 1 2008.02.13 -
Fortinet 3.14.0.0 2008.02.13 W32/Bagle.fam!tr.dldr.Themida
F-Prot 4.4.2.54 2008.02.12 -
F-Secure 6.70.13260.0 2008.02.13 Trojan-Downloader.Win32.Bagle.jr
Ikarus T3.1.1.20 2008.02.13 -
Kaspersky 7.0.0.125 2008.02.13 Trojan-Downloader.Win32.Bagle.jr
McAfee 5228 2008.02.12 -
Microsoft 1.3204 2008.02.13 TrojanDownloader:Win32/Bagle.QX
NOD32v2 2870 2008.02.12 -
Norman 5.80.02 2008.02.12 -
Panda 9.0.0.4 2008.02.13 -
Prevx1 V2 2008.02.13 Generic.Malware
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.13 -
Sunbelt 2.2.907.0 2008.02.13 VIPRE.Suspicious
Symantec 10 2008.02.13 -
TheHacker 6.2.9.218 2008.02.12 W32/Behav-Heuristic-064
VBA32 3.12.6.0 2008.02.11 -
VirusBuster 4.3.26:9 2008.02.12 -
Webwasher-Gateway 6.6.2 2008.02.13 Trojan.Dldr.Bagle.JR
Additional information
File size: 720123 bytes
MD5: efb6feabe970f736bbf89cca4f9aa9f4
SHA1: 1d26d1413e8d87bac5a730034c57432f154b2b76
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida

[Malekal_morte]

Un dropper Bagle mal détecté....
Celui qui va télécharger un crack contenant ce dropper, quelque soit l'antivirus... il sera infecté.

Fichier Credit_Card_Manager_2007_2.20_Key reçu le 2008.06.25 19:34:26 (CET)
Situation actuelle: terminé
Résultat: 6/33 (18.18%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.26.0 2008.06.25 -
AntiVir 7.8.0.59 2008.06.25 -
Authentium 5.1.0.4 2008.06.24 W32/Heuristic-THX!Eldorado
Avast 4.8.1195.0 2008.06.25 -
AVG 7.5.0.516 2008.06.25 -
BitDefender 7.2 2008.06.25 -
CAT-QuickHeal 9.50 2008.06.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.25 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.06.25 -
eSafe 7.0.17.0 2008.06.25 -
eTrust-Vet 31.6.5904 2008.06.25 -
Ewido 4.0 2008.06.25 -
F-Prot 4.4.4.56 2008.06.25 W32/Heuristic-THX!Eldorado
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.25 -
GData 2.0.7306.1023 2008.06.25 -
Ikarus T3.1.1.26.0 2008.06.25 -
Kaspersky 7.0.0.125 2008.06.25 -
McAfee 5325 2008.06.25 -
Microsoft 1.3604 2008.06.25 -
NOD32v2 3218 2008.06.25 -
Norman 5.80.02 2008.06.25 -
Panda 9.0.0.4 2008.06.25 -
Prevx1 V2 2008.06.25 Rootkit
Rising 20.50.22.00 2008.06.25 -
Sophos 4.30.0 2008.06.25 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.25 -
TheHacker 6.2.92.361 2008.06.25 -
TrendMicro 8.700.0.1004 2008.06.25 -
VBA32 3.12.6.8 2008.06.25 -
VirusBuster 4.5.11.0 2008.06.23 Packed/Themida
Webwasher-Gateway 6.6.2 2008.06.25 -
Information additionnelle
File size: 684032 bytes
MD5...: 9a96557e31588040da0973172c1e346e
SHA1..: 68c10a3bc4f51d7f960ca3aef1042a5308b06028

Les cracks Bagle ont des icones spécifiques.
A l'heure où sont écrites ces lignes, c'est un drapeau rouge avec une tête de mort, il y a déjà eu des clefs grises/jaunes, une icone verte etc..

Bref il est facile (mais encore faut-il le savoir) de déterminer à l'avance si le crack est piégé...
Enfin il faut décompresser et pas exécuter automatiquement le crack depuis Winrar, ce dernier n'affiche pas les icônes.




EDIT :

Détecté en TR/Dldr.Bagle.SY par Avira :

The file 'Bagle.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Bagle.SY. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.08.

[Malekal_morte]

sUBs a sorti un nouvel outil Beagled qui supprime les variantes Bagle : http://download.bleepingcomputer.com/sUBs/Beagled.exe

La page de désinfection a été mise à jour pour proposer ce nouvel outil : https://www.malekal.com/W32.Beagle.KF_T ... ooso.R.php

[Malekal_morte]

Quelques recrudescences de sujets Bagle, du coup un petit tour voir si de nouveaux droppers.
A priori non au vu des détections, l'icône est A rouge maintenant.

Par contre, le nombre de cracks piégés est impressionnant, les propabilités pour ne pas tomber dessus quand on en sait pas choisir un crack sont énormes.








Les scans sur VirusTotal sont bons (11/32 minimum)
Antivir et AVG manquent une variante.

Par contre, on notera que Symantec, McAfee et Avast! font un mauvais score, or ils sont des antivirus répandus et très utilisés. Ce qui peux expliquer le nombre de sujets Bagle... si les internautes ayant ces antivirus vont télécharger des cracks.
D'où la page Si vous avez Avast!, Norton ou McAfee: A lire, même si la source du problème est un comportement à risque en téléchargeant des cracks.

Fichier DBF_Viewer_2000_2.45.exe reçu le 2008.08.23 12:32:49 (CET)
Situation actuelle: terminé
Résultat: 11/35 (31.43%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 -
Authentium 5.1.0.4 2008.08.23 W32/Heuristic-THX!Eldorado
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.23 -
CAT-QuickHeal 9.50 2008.08.22 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.23 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.08.23 -
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.23 -
F-Prot 4.4.4.56 2008.08.23 W32/Heuristic-THX!Eldorado
Fortinet 3.14.0.0 2008.08.23 W32/Bagle.VV!tr.dldr
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.23 -
K7AntiVirus 7.10.425 2008.08.22 -
Kaspersky 7.0.0.125 2008.08.23 Trojan-Downloader.Win32.Bagle.yu
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.23 -
NOD32v2 3381 2008.08.22 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.23 -
PCTools 4.4.2.0 2008.08.22 Packed/Themida
Prevx1 V2 2008.08.23 Malicious Software
Rising 20.58.52.00 2008.08.23 -
Sophos 4.32.0 2008.08.23 Mal/Behav-285
Sunbelt 3.1.1571.1 2008.08.23 -
Symantec 10 2008.08.23 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 Packed/Themida
Webwasher-Gateway 6.6.2 2008.08.23 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 708616 bytes
MD5...: 1a26a239ce31daa9ef74a289c2a45257
SHA1..: 6361b8cf0860e145105d18d4bfad23d17b97a8dd

Fichier Classic_Cars_-_Talbot_Lago_t150_1 reçu le 2008.08.19 22:25:05 (CET)
Situation actuelle: terminé
Résultat: 20/35 (57.14%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Dldr.Bagle.JR.32
Authentium - - W32/Heuristic-THX!Eldorado
Avast - - Win32:Trojan-gen {Other}
AVG - - Downloader.Generic7.AGIG
BitDefender - - -
CAT-QuickHeal - - TrojanDownloader.Bagle.jr
ClamAV - - PUA.Packed.Themida
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Heuristic-THX!Eldorado
Fortinet - - PossibleThreat
GData - - Trojan-Downloader.Win32.Bagle.jr
Ikarus - - Trojan-Downloader.Win32.Bagle.jr
K7AntiVirus - - -
Kaspersky - - Trojan-Downloader.Win32.Bagle.jr
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/Bagle.PN
Norman - - W32/Mitglied.BBF
Panda - - W32/Bagle.KV.worm
PCTools - - Packed/Themida
Prevx1 - - Malicious Software
Rising - - -
Sophos - - Mal/Behav-285
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - Trojan.Win32.Downloader-Bagle.704520
VirusBuster - - Packed/Themida
Webwasher-Gateway - - Trojan.Dldr.Bagle.JR.32
Information additionnelle
MD5: 159ec896881625fb81cf39eef5d3e3ac
SHA1: c2d80ac4e79365c71eed29a95e5efab9c4406ffe

Fichier RightNote_1.0.10.17.exe reçu le 2008.08.22 18:53:44 (CET)
Situation actuelle: terminé
Résultat: 16/35 (45.71%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 TR/Dldr.Bagle.YT
Authentium 5.1.0.4 2008.08.22 W32/Heuristic-THX!Eldorado
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.22 -
CAT-QuickHeal 9.50 2008.08.22 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.22 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.08.22 Trojan.DownLoad.3749
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.21 W32/Heuristic-THX!Eldorado
Fortinet 3.14.0.0 2008.08.22 W32/Bagle.WI!tr.dldr
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.22 Trojan-Downloader.Win32.Bagle.yt
K7AntiVirus 7.10.423 2008.08.21 -
Kaspersky 7.0.0.125 2008.08.22 Trojan-Downloader.Win32.Bagle.yt
McAfee 5367 2008.08.21 -
Microsoft 1.3807 2008.08.22 TrojanDownloader:Win32/Bagle.SY
NOD32v2 3380 2008.08.22 -
Norman 5.80.02 2008.08.22 W32/Malware.DOGK
Panda 9.0.0.4 2008.08.22 -
PCTools 4.4.2.0 2008.08.22 Packed/Themida
Prevx1 V2 2008.08.22 Malicious Software
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.22 Mal/Behav-285
Sunbelt 3.1.1571.1 2008.08.22 -
Symantec 10 2008.08.22 -
TheHacker 6.3.0.6.058 2008.08.22 -
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 Packed/Themida
Webwasher-Gateway 6.6.2 2008.08.22 Trojan.Dldr.Bagle.YT
Information additionnelle
File size: 712712 bytes
MD5...: 95ba8d91b3670df13c2569ff090fc288
SHA1..: 90729e8e7083212579418345b31e34bf642e213b

[Malekal_morte]

Deux nouveaux droppers Bagle pour une nouvelle variante qui ajoute le fichier suivant :

Parent process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\setup.exe
PID: 1040
Information: Bisoft®
Child process:
Path: C:\WINDOWS\system32\drivers\winfilse.exe
Information: Bisoft®
Command line:"C:\WINDOWS\system32\drivers\winfilse.exe"

Process:
Path: C:\WINDOWS\system32\drivers\winfilse.exe
PID: 436
Information: Bisoft®
Registry Group: User AutoRun
Object:
Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Registry value: drvsyskit
Type: REG_SZ
Value: C:\WINDOWS\system32\drivers\winfilse.exe

même service :

Process:
Path: C:\WINDOWS\system32\services.exe
PID: 708
Information: Services and Controller app (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\srosa

et driver :

Process:
Path: C:\WINDOWS\system32\services.exe
PID: 708
Information: Services and Controller app (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\srosa
Registry value: ImagePath
Type: REG_EXPAND_SZ
Value: \??\C:\WINDOWS\system32\drivers\srosa.sys

File keygen.exe received on 10.21.2008 12:41:09 (CET)
Current status: finished
Result: 10/36 (27.78%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 Win32/Themida
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 Trojan.Packed.650
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 PossibleThreat
GData 19 2008.10.21 -
Ikarus T3.1.1.44.0 2008.10.21 Trojan-Downloader.Win32.Bagle.jc
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 Trojan-Downloader.Win32.Bagle.aed
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3541 2008.10.21 Win32/Bagle.QA
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 Malicious Software
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 Win32.Malware.gen (suspicious)
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21 W32/Behav-Heuristic-064
TrendMicro 8.700.0.1004 2008.10.21 -
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
Additional information
File size: 794632 bytes
MD5...: 5d325461f96494a615d41a89558383a6
SHA1..: 6f9c647d3641dc1fb52fc74a68b97ba98e3624e7

Fichier install_patch.exe reçu le 2008.10.21 12:42:14 (CET)
Situation actuelle: terminé
Résultat: 7/36 (19.44%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.21 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.21 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.20 Win32/Themida
BitDefender 7.2 2008.10.21 -
CAT-QuickHeal 9.50 2008.10.21 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.21 -
DrWeb 4.44.0.09170 2008.10.21 Trojan.Packed.650
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6161 2008.10.21 -
Ewido 4.0 2008.10.20 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.21 -
Fortinet 3.113.0.0 2008.10.21 PossibleThreat
GData 19 2008.10.21 -
Ikarus T3.1.1.44.0 2008.10.21 -
K7AntiVirus 7.10.500 2008.10.20 -
Kaspersky 7.0.0.125 2008.10.21 -
McAfee 5409 2008.10.21 -
Microsoft 1.4005 2008.10.21 -
NOD32 3541 2008.10.21 -
Norman 5.80.02 2008.10.20 -
Panda 9.0.0.4 2008.10.21 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.21 System Back Door
Rising 20.67.12.00 2008.10.21 -
SecureWeb-Gateway 6.7.6 2008.10.21 Win32.Malware.gen (suspicious)
Sophos 4.34.0 2008.10.21 -
Sunbelt 3.1.1741.1 2008.10.21 -
Symantec 10 2008.10.21 -
TheHacker 6.3.1.0.121 2008.10.21 W32/Behav-Heuristic-064
TrendMicro 8.700.0.1004 2008.10.21 -
VBA32 3.12.8.8 2008.10.21 -
ViRobot 2008.10.21.1429 2008.10.21 -
VirusBuster 4.5.11.0 2008.10.20 -
Information additionnelle
File size: 847880 bytes
MD5...: 898c6d1f5eb877d87e3d74b49ea85abc
SHA1..: 0f61a44b537cd4e4ebc33d27d3a906a2fcddf84f

[Malekal_morte]

Fast Avira

File ID Filename Size (Byte) Result
25168203 key_gen.exe 776.01 KB MALWARE
25168204 setup.exe 828.01 KB MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result
key_gen.exe MALWARE

The file 'key_gen.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Bagle.aar. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
Filename Result
setup.exe MALWARE

The file 'setup.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Bagle.aaq. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

[Malekal_morte]

Bagle revient en 2011 : https://www.malekal.com/2011/10/07/bagl ... -site-web/