特洛伊病毒Win32.Mitglieder.DU是一种特洛伊病毒，能够在被感染机器上打开一个后门，并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。

简介

感染方式

危害

清除

简介

其它名称：W32/Bagle!ITW#122 (WildList), W32/Bagle-LF (Sophos), W32/Mitglieder.SV (F-Secure), Trojan.Tooso (Symantec), Email-Worm.Win32.Bagle.gi (Kaspersky)

病毒属性：特洛伊木马 危害性：高危害

感染方式

病毒的主体程序运行时，会复制到：

%System%\\wintems.exe

Mitglieder.DU生成以下注册表，以确保每次系统启动时运行病毒：

HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\german.exe = "%System%\\wintems.exe"

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害

SOCKS Proxy

Mitglieder.DU在25552端口打开一个SOCKS 4/5代理。

连接站点

Mitglieder.DU定期链接以下站点，这些站点与被感染机器的信息相关。包括运行后门的端口号和被感染机器的IP地址。

http://avistrade.ru/prog/img/proizvod/

http://mir-vesov.ru/p/lang/CVS/

http://monomah-city.ru/vakans/

http://pvcps.ru/images/

http://roszvetmet.com/images/

http://schiffsparty.de/bilder/uploads/

http://service6.valuehost.ru/images/

http://stroyindustry.ru/service/construction/

http://vladzernoproduct.ru/control/sell/t/

http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/

http://www.deadlygames.de/DG/BF/BF-Links/clans/

http://www.emil-zittau.de/karten/

http://www.etype.hostingcity.net/mysql_admin_new/images/

http://www.levada.ru/htmlarea/images/

http://www.mirage.ru/sport/omega/pic/omega/

http://www.ordendeslichts.de/intern/

http://8marta.ru/img/path/

http://asvt.ru/images/

http://calimasurf.com/images/base/orig/

http://celebrationsinspain.com/images/

http://coral-adventures.com/images/

http://dearruthie.com/images/

http://dmax.ru/images/

http://efpa-eg.net/images/

http://ferrumcomp.ru/images/

http://financialbusiness.ca/images/

http://golden-ring.net/images/

http://goodbathscents.com/images/

http://jamminjo.com/images/

http://kmold.biz/images/

http://kokon.com/images/

http://komt.ru/images/

http://magian.ru/images/

http://merkur-akademie.de/images/

http://nakorable.ru/htdocs/img/

http://optimsasia.com/images/

http://raz-naraz.wz.cz/html/fanklub/

http://redshop.ru/images/

http://sdom.ru/images/

http://spbso.ru/images/

http://tarkan.ru/images/

http://transaerotours.ru/img/

http://www.ipromocionales.com/images/

http://www.katjas-reisen.de/blog/images/colors/

http://www.moscowapartments.ru/images/_vti_cnf/

http://www.pechki.ru/images/

http://www.rhone.ch/images/

http://www.zdom.ru/images/

下载文件

特洛伊从以下站点每隔1小时下载一个IP地址列表，保存到%System%\\ban_list.txt。这个文件用来链接后门。

http://avistrade.ru/prog/img/proizvod/

http://mir-vesov.ru/p/lang/CVS/

http://monomah-city.ru/vakans/

http://pvcps.ru/images/

http://service6.valuehost.ru/images/

http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/

http://trehrechie.ru/images/

http://turnstylesticketing.com/images/

http://twilightzone.cz/distro/

http://vniipo.ru/images/_notes/

http://voelckergmbh.de/images/

http://vserozetki.ru/images/

http://vtr-spb.ru/fp/mikrobus/gazel/

http://www.belteh.ru/images/ludi/

http://www.bmblawfirm.com/images/

http://www.enertelligence.com/playitsafe/images/

http://www.enkor.ru/images/

http://www.g-antssoft.com/images/icon/jpg/blog/

停止并使服务失效

在WindowsXP 和 2000 上，Mitglieder.DU尝试停止以下服务，并使之失效：

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) service (the "SharedAccess" service), 和 the Security Center service ("wscsvc" - Windows XP Service Pack 2中引入) 在 Windows XP 系统上。

其他信息

特洛伊生成一个名为 '555' 的互斥体，以确保每次只有一个副本运行。它还会生成以下键值供它自己使用：

HKCU\\SOFTWARE\\DateTime4\\uid = <Unique ID>

HKCU\\SOFTWARE\\DateTime4\\port = <Port Number>

HKCU\\SOFTWARE\\DateTime4\\wdrn = 1/0 - (指出它是一个新的还是一个老的感染。)

清除

KILL安全胄甲Vet 30.3.3000 版本可检测/清除此病毒。