Descrizione Breve

Mitglieder è un trojan che funziona come un e-mail relay.
Il trojan uccide i processi di molte applicazioni ed invia alcune informazioni al suo creatore.
Il worm Bagle ha la funzionalità di scaricare ed attivare da un sito web questo trojan.

Descrizione Dettagliata

Quando eseguito, il trojan si installa nelsistema. Si copia come SYSTEM:EXE nella cartella di installazione di Windows e e crea le seguenti chiavi nel registro di windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ssgrate.exe" = "%winsysdir%\system.exe"

dove %winsysdir% è il nome della cartella di installazione di windows.

Il trojan crea un'altra entry nel registro di sistema dove salva le sue variabili interne.

A questo punto il trojan avvia un thread che accede a 15 differenti siti web sui quali apre una pagina PHP con particolari parametri.
In questo modo Mitglieder colleziona il suo ID, la porta del proxy e l' IP della macchina infetta per il suo creatore.

Dopo il trojan avvia un akltro thread che si occupa di uccidere i processi con i seguenti nomi:

ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE

Il trojan ha tre link nel suo corpo che puntano ad un data stealing trojan. Questo trojan viene rilevato come 'Trojan.PSW.Ldpinch.as'. I file infetti sono recentemente stati rimossi dai siti web dove erano stati salvati.

Il trojan ha, al suo interno, un mail relay.

Rilevazione

F-Secure Anti-Virus per Windows rileva Bagle con gli aggiornamenti pubblicati il 15 Gennaio 2004:

[FSAV_Database_Version]

Version=2004-01-15_01

Dettagli tecnici: Alexey Podrezov, 15 Gennaio, 2004

F-Secure Corporation