W32/Bagle.aj!proxy

Content

W32/Bagle.aj!proxy

Type: Virus
SubType: Win32
Discovery Date: 07/22/2004
Length: 5,924 Bytes (FSG Packed) 33,298 Bytes (Unpacked)
Minimum DAT: 4381 (07/26/2004)
Updated DAT: 5090 (08/03/2007)
Minimum Engine: 5.1.00
Description Added: 07/22/2004
Description Modified: 07/22/2004 11:46 PM (PT)

Risk Assessment

Corporate User: Low
Home User: Low

Tab Navigation

Characteristics

This detection is for a new variant of W32/Bagle. Unlike the majority of its predecessors, this variant does not mass-mail itself. It simply serves as a proxy trojan on the victim machine (akin to W32/Bagle.l!proxy ).

When run on the victim machine, it installs itself as WINdirect.exe (5,924 Bytes) in the Windows system directory:

%SysDir%\WINdirect.exe

The following Registry key is added to hook system startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\
"win_upd.exe" = %SysDir%\WINdirect.exe

A HTTP request is sent to one of a few servers to notify the hacker of its installation. The port number and id number are passed to a remote script. Users should block HTTP access to the following domains:

http://polobeer.de/1.jpg
http://r2626r.de/1.jpg
http://kooltokyo.ru/1.jpg
http://mmag.ru/1.jpg
http://advm1.gm.fh-koeln.de/1.jpg
http://evadia.ru/1.jpg
http://megion.ru/1.jpg
http://molinero-berlin.de/1.jpg
http://dozenten.f1.fhtw-berlin.de/1.jpg
http://shadkhan.ru/1.jpg
http://sacred.ru/1.jpg
http://kypexin.ru/1.jpg
http://www.gantke-net.com/1.jpg
http://www.mcschnaeppchen.com/1.jpg
http://www.rollenspielzirkel.de/1.jpg
http://134.102.228.45/1.jpg
http://196.12.49.27/1.jpg
http://aus-Zeit.com/1.jpg
http://lottery.h11.ru/1.jpg
http://herzog.cs.uni-magdeburg.de/1.jpg
http://yaguark.h10.ru/1.jpg
http://213.188.129.72/1.jpg
http://thorpedo.us/1.jpg
http://szm.sk/1.jpg
http://lars-s.privat.t-online.de/1.jpg
http://www.no-abi2003.de/1.jpg
http://www.mdmedia.org/1.jpg
http://abi-2004.org/1.jpg
http://sovea.de/1.jpg
http://www.porta.de/1.jpg
http://matzlinger.com/1.jpg
http://pocono.ru/1.jpg
http://controltechniques.ru/1.jpg
http://alexey.pioneers.com.ru/1.jpg
http://momentum.ru/1.jpg
http://omegat.ru/1.jpg
http://www.perfectgirls.net/1.jpg
http://porno-mania.net/1.jpg
http://colleen.ai.net/1.jpg
http://ourcj.com/1.jpg
http://free.bestialityhost.com/1.jpg
http://slavarik.ru/1.jpg
http://burn2k.ipupdater.com/1.jpg
http://carabi.ru/1.jpg
http://spbbook.ru/1.jpg
http://binn.ru/1.jpg
http://sbuilder.ru/1.jpg
http://protek.ru/1.jpg
http://www.PlayGround.ru/1.jpg
http://celine.artics.ru/1.jpg
http://www.artics.ru/1.jpg
http://www.laserbuild.ru/1.jpg
http://www.lamatec.com/1.jpg
http://www.sensi.com/1.jpg
http://www.oldtownradio.com/1.jpg
http://www.youbuynow.com/1.jpg
http://64.62.172.118/1.jpg
http://www.tayles.com/1.jpg
http://dodgetheatre.com/1.jpg
http://www.thepositivesideofsports.com/1.jpg
http://www.bridesinrussia.com/1.jpg
http://fairy.dataforce.net/1.jpg
http://www.pakwerk.ru/1.jpg
http://home.profootball.ru/1.jpg
http://www.ankil.ru/1.jpg
http://www.ddosers.net/1.jpg
http://tarkosale.net/1.jpg
http://www.boglen.com/1.jpg
http://change.east.ru/1.jpg
http://www.teatr-estrada.ru/1.jpg
http://www.glass-master.ru/1.jpg
http://www.zeiss.ru/1.jpg
http://www.sposob.ru/1.jpg
http://www.glavriba.ru/1.jpg
http://alfinternational.ru/1.jpg
http://euroviolence.com/1.jpg
http://www.webronet.com/1.jpg
http://www.virtmemb.com/1.jpg
http://www.infognt.com/1.jpg
http://www.vivamedia.ru/1.jpg
http://www.zelnet.ru/1.jpg
http://www.dsmedia.ru/1.jpg
http://www.vendex.ru/1.jpg
http://www.elit-line.ru/1.jpg
http://pixel.co.il/1.jpg
http://www.milm.ru/1.jpg
http://dev.tikls.net/1.jpg
http://www.met.pl/1.jpg
http://www.strefa.pl/1.jpg
http://kafka.punkt.pl/1.jpg
http://www.rubikon.pl/1.jpg
http://www.neostrada.pl/1.jpg
http://werel1.web-gratis.net/1.jpg
http://www.tuhart.net/1.jpg
http://www.antykoncepcja.net/1.jpg
http://www.dami.com.pl/1.jpg
http://vip.pnet.pl/1.jpg
http://www.webzdarma.cz/1.jpg
http://emnesty.w.interia.pl/1.jpg
http://niebo.net/1.jpg
http://strony.wp.pl/1.jpg
http://sec.polbox.pl/1.jpg
http://www.phg.pl/1.jpg
http://emnezz.e-mania.pl/1.jpg
http://www.republika.pl/1.jpg
http://www.silesianet.pl/1.jpg
http://www.republika.pl/1.jpg
http://tdi-router.opola.pl/1.jpg
http://republika.pl/1.jpg
http://infokom.pl/1.jpg
http://silesianet.pl/1.jpg
http://terramail.pl/1.jpg
http://silesianet.pl/1.jpg
http://www.iluminati.kicks-ass.net/1.jpg
http://www.dilver.ru/1.jpg
http://www.yarcity.ru/1.jpg
http://www.scli.ru/1.jpg
http://www.elemental.ru/1.jpg
http://diablo.homelinux.com/1.jpg
http://www.interrybflot.ru/1.jpg
http://www.webpark.pl/1.jpg
http://www.rafani.cz/1.jpg
http://gutemine.wu-wien.ac.at/1.jpg
http://przeglad-tygodnik.pl/1.jpg
http://przeglad-tygodnik.pl/1.jpg
http://pb195.slupsk.sdi.tpnet.pl/1.jpg
http://www.ciachoo.pl/1.jpg
http://cavalierland.5u.com/1.jpg
http://www.nefkom.net/1.jpg
http://rausis.latnet.lv/1.jpg
http://www.hgr.de/1.jpg
http://www.airnav.com/1.jpg
http://www.astoria-stuttgart.de/1.jpg
http://ultimate-best-hgh.0my.net/1.jpg
http://wynnsjammer.proboards18.com/1.jpg
http://www.jewishgen.org/1.jpg
http://www.hack-gegen-rechts.com/1.jpg
http://host.wallstreetcity.com/1.jpg
http://quotes.barchart.com/1.jpg
http://www.aannemers-nederland.nl/1.jpg
http://www.sjgreatdeals.com/1.jpg
http://financial.washingtonpost.com/1.jpg
http://www.biratnagarmun.org.np/1.jpg
http://hsr.zhp.org.pl/1.jpg
http://traveldeals.sidestep.com/1.jpg
http://www.hbz-nrw.de/1.jpg
http://www.ifa-guide.co.uk/1.jpg
http://www.inversorlatino.com/1.jpg
http://www.zhp.gdynia.pl/1.jpg
http://host.businessweek.com/1.jpg
http://packages.debian.or.jp/1.jpg
http://www.math.kobe-u.ac.jp/1.jpg
http://www.k2kapital.com/1.jpg
http://www.tanzen-in-sh.de/1.jpg
http://www.wapf.com/1.jpg
http://www.hgrstrailer.com/1.jpg
http://www.forbes.com/1.jpg
http://www.oshweb.com/1.jpg
http://www.rumbgeo.ru/1.jpg
http://www.dicto.ru/1.jpg
http://www.busheron.ru/1.jpg
http://www.omnicom.ru/1.jpg
http://www.teleline.ru/1.jpg
http://www.dynex.ru/1.jpg
http://www.gamma.vyborg.ru/1.jpg
http://nominal.kaliningrad.ru/1.jpg
http://www.baltmatours.com/1.jpg
http://www.interfoodtd.ru/1.jpg
http://www.baltnet.ru/1.jpg
http://www.neprifan.ru/1.jpg
http://photo.gornet.ru/1.jpg
http://www.aktor.ru/1.jpg
http://catalog.zelnet.ru/1.jpg
http://www.sdsauto.ru/1.jpg
http://www.gradinter.ru/1.jpg
http://www.avant.ru/1.jpg
http://www.porsa.ru/1.jpg
http://www.taom-clan.de/1.jpg
http://www.perfectjewel.com/1.jpg
http://www.vrack.net/1.jpg
http://www.netradar.com/1.jpg
http://www.pgipearls.com/1.jpg
http://www.vconsole.net/1.jpg
http://www.ccbootcamp.com/1.jpg
http://host23.ipowerweb.com/1.jpg
http://www.timelessimages.com/1.jpg
http://www.peterstar.ru/1.jpg
http://www.5100.ru/1.jpg
http://www.gin.ru/1.jpg
http://www.rweb.ru/1.jpg
http://www.metacenter.ru/1.jpg
http://www.biysk.ru/1.jpg
http://www.free-time.ru/1.jpg
http://www.rastt.ru/1.jpg
http://www.chelny.ru/1.jpg
http://www.chat4adult.com/1.jpg
http://www.landofcash.net/1.jpg
http://relay.great.ru/1.jpg
http://www.kefaloniaresorts.com/1.jpg
http://www.epski.gr/1.jpg
http://www.myrtoscorp.com/1.jpg
http://www.aphel.de/1.jpg
http://www.intellect.lvc/1.jpg
http://www.abcdesign.ru/1.jpg

A port is opened on the victim machine, and the malware may also serve as a mail relay.

Process Killing

The worm kills processes matching the following list of file names, belonging to other worms and products which could be used to identify or interfere with its actions:

FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

Symptoms

Unexpected port (TCP) open on the victim machine (eg. 1056)

Existence of the files and Registry keys detailed above

Method of Infection

This variant serves as a proxy trojan on the victim machine. Once running it could be used as a mail relay.

Removal

All Users:
Use specified engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Variants

N/A

All Information

Overview -

This is a virus detection. Viruses are programs that self-replicate recursively, meaning that infected systems spread the virus to other systems, which then propagate the virus further. While many viruses contain a destructive payload, it's quite common for viruses to do nothing more than spread from one system to another.

Characteristics

Characteristics -

When run on the victim machine, it installs itself as WINdirect.exe (5,924 Bytes) in the Windows system directory:

%SysDir%\WINdirect.exe

The following Registry key is added to hook system startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\
"win_upd.exe" = %SysDir%\WINdirect.exe

http://polobeer.de/1.jpg
http://r2626r.de/1.jpg
http://kooltokyo.ru/1.jpg
http://mmag.ru/1.jpg
http://advm1.gm.fh-koeln.de/1.jpg
http://evadia.ru/1.jpg
http://megion.ru/1.jpg
http://molinero-berlin.de/1.jpg
http://dozenten.f1.fhtw-berlin.de/1.jpg
http://shadkhan.ru/1.jpg
http://sacred.ru/1.jpg
http://kypexin.ru/1.jpg
http://www.gantke-net.com/1.jpg
http://www.mcschnaeppchen.com/1.jpg
http://www.rollenspielzirkel.de/1.jpg
http://134.102.228.45/1.jpg
http://196.12.49.27/1.jpg
http://aus-Zeit.com/1.jpg
http://lottery.h11.ru/1.jpg
http://herzog.cs.uni-magdeburg.de/1.jpg
http://yaguark.h10.ru/1.jpg
http://213.188.129.72/1.jpg
http://thorpedo.us/1.jpg
http://szm.sk/1.jpg
http://lars-s.privat.t-online.de/1.jpg
http://www.no-abi2003.de/1.jpg
http://www.mdmedia.org/1.jpg
http://abi-2004.org/1.jpg
http://sovea.de/1.jpg
http://www.porta.de/1.jpg
http://matzlinger.com/1.jpg
http://pocono.ru/1.jpg
http://controltechniques.ru/1.jpg
http://alexey.pioneers.com.ru/1.jpg
http://momentum.ru/1.jpg
http://omegat.ru/1.jpg
http://www.perfectgirls.net/1.jpg
http://porno-mania.net/1.jpg
http://colleen.ai.net/1.jpg
http://ourcj.com/1.jpg
http://free.bestialityhost.com/1.jpg
http://slavarik.ru/1.jpg
http://burn2k.ipupdater.com/1.jpg
http://carabi.ru/1.jpg
http://spbbook.ru/1.jpg
http://binn.ru/1.jpg
http://sbuilder.ru/1.jpg
http://protek.ru/1.jpg
http://www.PlayGround.ru/1.jpg
http://celine.artics.ru/1.jpg
http://www.artics.ru/1.jpg
http://www.laserbuild.ru/1.jpg
http://www.lamatec.com/1.jpg
http://www.sensi.com/1.jpg
http://www.oldtownradio.com/1.jpg
http://www.youbuynow.com/1.jpg
http://64.62.172.118/1.jpg
http://www.tayles.com/1.jpg
http://dodgetheatre.com/1.jpg
http://www.thepositivesideofsports.com/1.jpg
http://www.bridesinrussia.com/1.jpg
http://fairy.dataforce.net/1.jpg
http://www.pakwerk.ru/1.jpg
http://home.profootball.ru/1.jpg
http://www.ankil.ru/1.jpg
http://www.ddosers.net/1.jpg
http://tarkosale.net/1.jpg
http://www.boglen.com/1.jpg
http://change.east.ru/1.jpg
http://www.teatr-estrada.ru/1.jpg
http://www.glass-master.ru/1.jpg
http://www.zeiss.ru/1.jpg
http://www.sposob.ru/1.jpg
http://www.glavriba.ru/1.jpg
http://alfinternational.ru/1.jpg
http://euroviolence.com/1.jpg
http://www.webronet.com/1.jpg
http://www.virtmemb.com/1.jpg
http://www.infognt.com/1.jpg
http://www.vivamedia.ru/1.jpg
http://www.zelnet.ru/1.jpg
http://www.dsmedia.ru/1.jpg
http://www.vendex.ru/1.jpg
http://www.elit-line.ru/1.jpg
http://pixel.co.il/1.jpg
http://www.milm.ru/1.jpg
http://dev.tikls.net/1.jpg
http://www.met.pl/1.jpg
http://www.strefa.pl/1.jpg
http://kafka.punkt.pl/1.jpg
http://www.rubikon.pl/1.jpg
http://www.neostrada.pl/1.jpg
http://werel1.web-gratis.net/1.jpg
http://www.tuhart.net/1.jpg
http://www.antykoncepcja.net/1.jpg
http://www.dami.com.pl/1.jpg
http://vip.pnet.pl/1.jpg
http://www.webzdarma.cz/1.jpg
http://emnesty.w.interia.pl/1.jpg
http://niebo.net/1.jpg
http://strony.wp.pl/1.jpg
http://sec.polbox.pl/1.jpg
http://www.phg.pl/1.jpg
http://emnezz.e-mania.pl/1.jpg
http://www.republika.pl/1.jpg
http://www.silesianet.pl/1.jpg
http://www.republika.pl/1.jpg
http://tdi-router.opola.pl/1.jpg
http://republika.pl/1.jpg
http://infokom.pl/1.jpg
http://silesianet.pl/1.jpg
http://terramail.pl/1.jpg
http://silesianet.pl/1.jpg
http://www.iluminati.kicks-ass.net/1.jpg
http://www.dilver.ru/1.jpg
http://www.yarcity.ru/1.jpg
http://www.scli.ru/1.jpg
http://www.elemental.ru/1.jpg
http://diablo.homelinux.com/1.jpg
http://www.interrybflot.ru/1.jpg
http://www.webpark.pl/1.jpg
http://www.rafani.cz/1.jpg
http://gutemine.wu-wien.ac.at/1.jpg
http://przeglad-tygodnik.pl/1.jpg
http://przeglad-tygodnik.pl/1.jpg
http://pb195.slupsk.sdi.tpnet.pl/1.jpg
http://www.ciachoo.pl/1.jpg
http://cavalierland.5u.com/1.jpg
http://www.nefkom.net/1.jpg
http://rausis.latnet.lv/1.jpg
http://www.hgr.de/1.jpg
http://www.airnav.com/1.jpg
http://www.astoria-stuttgart.de/1.jpg
http://ultimate-best-hgh.0my.net/1.jpg
http://wynnsjammer.proboards18.com/1.jpg
http://www.jewishgen.org/1.jpg
http://www.hack-gegen-rechts.com/1.jpg
http://host.wallstreetcity.com/1.jpg
http://quotes.barchart.com/1.jpg
http://www.aannemers-nederland.nl/1.jpg
http://www.sjgreatdeals.com/1.jpg
http://financial.washingtonpost.com/1.jpg
http://www.biratnagarmun.org.np/1.jpg
http://hsr.zhp.org.pl/1.jpg
http://traveldeals.sidestep.com/1.jpg
http://www.hbz-nrw.de/1.jpg
http://www.ifa-guide.co.uk/1.jpg
http://www.inversorlatino.com/1.jpg
http://www.zhp.gdynia.pl/1.jpg
http://host.businessweek.com/1.jpg
http://packages.debian.or.jp/1.jpg
http://www.math.kobe-u.ac.jp/1.jpg
http://www.k2kapital.com/1.jpg
http://www.tanzen-in-sh.de/1.jpg
http://www.wapf.com/1.jpg
http://www.hgrstrailer.com/1.jpg
http://www.forbes.com/1.jpg
http://www.oshweb.com/1.jpg
http://www.rumbgeo.ru/1.jpg
http://www.dicto.ru/1.jpg
http://www.busheron.ru/1.jpg
http://www.omnicom.ru/1.jpg
http://www.teleline.ru/1.jpg
http://www.dynex.ru/1.jpg
http://www.gamma.vyborg.ru/1.jpg
http://nominal.kaliningrad.ru/1.jpg
http://www.baltmatours.com/1.jpg
http://www.interfoodtd.ru/1.jpg
http://www.baltnet.ru/1.jpg
http://www.neprifan.ru/1.jpg
http://photo.gornet.ru/1.jpg
http://www.aktor.ru/1.jpg
http://catalog.zelnet.ru/1.jpg
http://www.sdsauto.ru/1.jpg
http://www.gradinter.ru/1.jpg
http://www.avant.ru/1.jpg
http://www.porsa.ru/1.jpg
http://www.taom-clan.de/1.jpg
http://www.perfectjewel.com/1.jpg
http://www.vrack.net/1.jpg
http://www.netradar.com/1.jpg
http://www.pgipearls.com/1.jpg
http://www.vconsole.net/1.jpg
http://www.ccbootcamp.com/1.jpg
http://host23.ipowerweb.com/1.jpg
http://www.timelessimages.com/1.jpg
http://www.peterstar.ru/1.jpg
http://www.5100.ru/1.jpg
http://www.gin.ru/1.jpg
http://www.rweb.ru/1.jpg
http://www.metacenter.ru/1.jpg
http://www.biysk.ru/1.jpg
http://www.free-time.ru/1.jpg
http://www.rastt.ru/1.jpg
http://www.chelny.ru/1.jpg
http://www.chat4adult.com/1.jpg
http://www.landofcash.net/1.jpg
http://relay.great.ru/1.jpg
http://www.kefaloniaresorts.com/1.jpg
http://www.epski.gr/1.jpg
http://www.myrtoscorp.com/1.jpg
http://www.aphel.de/1.jpg
http://www.intellect.lvc/1.jpg
http://www.abcdesign.ru/1.jpg

A port is opened on the victim machine, and the malware may also serve as a mail relay.

Process Killing

The worm kills processes matching the following list of file names, belonging to other worms and products which could be used to identify or interfere with its actions:

FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

Symptoms

Symptoms -

Unexpected port (TCP) open on the victim machine (eg. 1056)

Existence of the files and Registry keys detailed above

Method of Infection

Method of Infection -

This variant serves as a proxy trojan on the victim machine. Once running it could be used as a mail relay.

Removal -

All Users:
Use specified engine and DAT files for detection and removal.

Additional Windows ME/XP removal considerations

Variants

Variants -

N/A

McAfee > Theat Center > Virus Detail Page

Navigation

Utility Navigation

Content