Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire


Environnement du Malware
Descriptions du Malware
Qui se cache derrière le Malware
Historique du Malware
Tendances du Malware
Si votre ordinateur est infecté

 
Recherche Description Malware

 

  Home / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau / Vers de Messagerie

Email-Worm.Win32.Bagle.a

Other versions: .bn, .ch, .cy, .da, .ef, .eg, .ek, .fj, .fy, .gt

Aliases
Email-Worm.Win32.Bagle.a (Kaspersky Lab) is also known as: I-Worm.Bagle.a (Kaspersky Lab), W32/Bagle.a@MM (NAI),   W32.Beagle.A@mm (NAV),   Win32.HLLM.Beagle.15872 (DrWeb),   W32/Bagle-A (Sophos),   Win32/Bagle.A@mm (RAV),   WORM_BAGLE.A (PCCIL),   Worm/Bagle.A (H+BEDV),   W32/Bagle.A@mm (FPROT),   Win32:Beagle (AVAST),   I-Worm/Bagle.A (AVG),   Win32.Bagle.A@mm (BitDef7),   Worm.Bagle.Gen-dll (Clamav),   W32/Bagle.A.worm (Panda),   Win32/Bagle.A (Nod32)
Description added 15 Aug 2006
Comportement Email-Worm, ver de messagerie
Détails Techniques
Ce ver se propage sur Internet sous forme de pièces jointes à des emails infectés.

Le ver est un fichier Window PE EXE d'environ 15Ko.

Les messages envoyés par le ver présentent les caractéristiques suivantes :

De :

expéditeur aléatoire

Objet :

Hi

Corps du message:

Test =)

Signature :

Test, yep

Pièces jointes:

nom aléatoire

Installation

Le ver est activé lorsque l'utilisateur clique sur le fichier attaché à l'email. Une fois lancé, le ver se copie dans le répertoire système sous le nom de bbeagle.exe et enregistre ce fichier dans la clé auto-run de la base de registre : 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "d3dupdate.exe" = "%system%\bbeagle.exe"
Il exécute également l'application Windows calc.exe.

Le ver tente de se connecter à distance à plusieurs sites reliés à TrojanProxy.Win32.Mitglieder.

Diffusion

Le ver cherche des fichiers aux extensions wab, txt, htm, html, r1 puis les scanne à la recherche d'adresses emails et enfin s'envoie sur les adresses trouvées.

Ce code malicieux utilise un moteur SMTP pour envoyer des messages infectés.

Fonction backdoor

Le ver ouvre le port 6777 afin de réceptionner des ordres. Cette fonction de backdoor permet à l'attaquant de télécharger des fichiers et d'exécuter des commandes sur l'ordinateur infecté.

Autre

Si la date système est supérieur au 28 janvier 2004, le ver n'aura aucun effet. 		 

Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com