Bagle.GN. Oculta sus procesos, finaliza protecciones

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

Bagle.GN. Oculta sus procesos, finaliza protecciones

Compartir

Nombre: Bagle.GN
Nombre NOD32: Win32/Bagle.GN
Tipo: Gusano de Internet
Alias: Bagle.GN, Email-Worm.Win32.Bagle.gl, I-Worm.Bagle.JU, I-Worm/Bagle, Mitglied.gen, Trojan.Bagle.BN, [email protected], W32/Bagle!tr.dldr, W32/[email protected], W32/[email protected], W32/Bagle.JQ.worm, W32/Bagle-KN, W32/Mitglieder.TM, [email protected], Win32.HLLM.Beagle.9158, Win32/Bagle.EG!Worm, Win32/Bagle.GN, Win32/Baglelike, Win32:Beagle-MC, Worm/Bagle.GL
Fecha: 22/jun/06
Plataforma: Windows 32-bit
Tamaño: 94,126 bytes

Gusano que se propaga masivamente vía correo electrónico. Crea varios archivos en el equipo infectado, uno de ellos es un troyano con facilidades de rootkit que utiliza para ocultarse. Un error en su código, impide que este componente funcione al reiniciarse el PC.

También intenta descargar y ejecutar otro archivo desde diferentes sitios de Internet.

El gusano envía mensajes con las siguientes características:

De: [nombre falso]

Asunto: [uno de los siguientes textos]
Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Constance
Cybil
Christean
Christian
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
I love you
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
To the beloved
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede

Texto del mensaje: [1]+[2]

Donde [1] es uno de los siguientes:

[vacío]
I love you
To the beloved

Y [2] uno de los siguientes textos y una imagen:

The password is [imagen]
Password -- [imagen]
Use password [imagen] to open archive.
Password is [imagen]
Zip password: [imagen]
archive password: [imagen]
Password - [imagen]
Password: [imagen]

La imagen es un .GIF que muestra un número de 5 dígitos. Dicho número es la contraseña para abrir el adjunto, un .ZIP encriptado, que tendrá uno de los nombres usado para el "Asunto" (no necesariamente el mismo que tenga el mensaje).

Ejemplos:

Anthonie.zip
Bennet.zip
Cybil.zip

El archivo dentro del .ZIP es una copia del propio gusano con un nombre al azar. También contiene una carpeta y un .DLL que no posee código malicioso.

Al ejecutarse, el gusano crea la siguiente carpeta:

c:\windows\hidn

Crea en ella los siguientes archivos:

c:\windows\hidn\hidn1.exe
c:\windows\hidn\m_hook.sys

NOTA: En lugar de la carpeta C:\WINDOWS\, puede crear HIDN dentro de la carpeta \APPLICATION DATA\. Esta puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:

C:\Documents and Settings\[Usuario]
\Configuración local\Application Data

C:\WINDOWS\Application Data

También crea el siguiente archivo, que solo contiene una imagen con el texto "Error" en grandes letras negras y fondo blanco, la que muestra la primera vez que se ejecuta:

c:\error.gif

Crea además el siguiente archivo, que es el ZIP encriptado que luego enviará como adjunto en sus mensajes:

c:\temp.zip

También crea las siguientes entradas en el registro:

HKCU\Software\FirstRuxzx
FirstRun = "1"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[camino completo]\hidn\hidn1.exe"

HKLM\SYSTEM\CurrentControlSet\Services\m_hook
ImagePath = "c:\windows\hidn\m_hook.sys"

HKLM\SYSTEM\CurrentControlSet\Services\m_hook
DisplayName = "Empty"

HKLM\SYSTEM\CurrentControlSet\enum\root\legacy_m_h ook

La primera es una marca de infección, las siguientes autoejecutan al gusano en cada reinicio de Windows, y lanzan como servicio el componente que utiliza para ocultarse (por un error, el rootkit no se ejecuta al reiniciarse).

El gusano intentará deshabilitar los servicios que tengan los siguientes nombres:

Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati HotKey Poller
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido security suite control
ewido security suite driver
ewido security suite guard
firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSFW
FSMA
FTPFILT.DLL
FwcAgent
fwdrv
Guard NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
NDIS_RD
Ndisuio
Network Associates Log Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCC_PFW
PCCPFW
PersFW
Personal Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
Quick Heal Online Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
T_H_S_M
The_Hacker_Antivirus
tm_cfw
Tmntsrv
TmPfw
tmproxy
tmtdi
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic AntiVirus Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wscsvc
wuauserv
wuauserv
xcomm

También intentará borrar la siguiente clave del registro, para evitar el reinicio de Windows en modo seguro:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

El gusano intenta descargar un archivo de los siguientes sitios de Internet:

http: // 1point2 .iae .nl/
http: // 5050clothing .com/
http: // appaloosa .no/
http: // apromed .com/
http: // arborfolia .com/
http: // areal-realt .ru/
http: // art4u1 .superhost .pl/
http: // art-bizar .foxnet .pl/
http: // asdesign .cz/
http: // avenue .ee/
http: // axelero .hu/
http: // bartex-cit .com .pl/
http: // bazarbekr .sk/
http: // bid-usa .com/
http: // biliskov .com/
http: // biomedpel .cz/
http: // bitel .ru/
http: // blackbull .cz/
http: // bohuminsko .cz/
http: // bonsai-world .com .au/
http: // bpsbillboards .com/
http: // cadinformatics .com/
http: // calamarco .com/
http: // canecaecia .com/
http: // ceramax .co .kr/
http: // cibernegocios .com .ar/
http: // cof666 .shockonline .net/
http: // comaxtechnologies .net/
http: // compucel .com/
http: // concellodesandias .com/
http: // continentalcarbonindia .com/
http: // charlesspaans .com/
http: // chatsk .wz .cz/
http: // checkalertusa .com/
http: // dev .jintek .com/
http: // dogoodesign .ch/
http: // donchef .com/
http: // erich-kaestner-schule-donaueschingen .de/
http: // foxvcoin .com/
http: // ftp-dom .earthlink .net/
http: // gnu .univ .gda .pl/
http: // grupdogus .de/
http: // hotchillishop .de/
http: // ilikesimple .com/
http: // innovation .ojom .net/
http: // kisalfold .com/
http: // knickimbit .de/
http: // kremz .ru/
http: // massgroup .de/
http: // ouarzazateservices .com/
http: // pawlacz .com/
http: // poliklinika-vajnorska .sk/
http: // prime .gushi .org/
http: // stats-adf .altadis .com/
http: // svatba .viskot .cz/
http: // systemforex .de/
http: // ujscie .one .pl/
http: // uwua132 .org/
http: // vanvakfi .com/
http: // vega-sps .com/
http: // vidus .ru/
http: // viralstrategies .com/
http: // Vivamodelhobby .com/
http: // vkinfotech .com/
http: // vproinc .com/
http: // v-v-kopretiny .ic .cz/
http: // vytukas .com/
http: // waisenhaus-kenya .ch/
http: // watsrisuphan .org/
http: // wbecanada .com/
http: // web-comp .hu/
http: // webfull .com/
http: // welvo .com/
http: // wvpilots .org/
http: // www .ag .ohio-state .edu/
http: // www .ag .ohio-state .edu/
http: // www .artbed .pl/
http: // www .aureaorodeley .com/
http: // www .autoekb .ru/
http: // www .autovorota .ru/
http: // www .avinpharma .ru/
http: // www .castnetnultimedia .com/
http: // www .cort .ru/
http: // www .crfj .com/
http: // www .chapisteriadaniel .com/
http: // www .chittychat .com/
http: // www .jonogueira .com/
http: // www .kersten .de/
http: // www .kljbwadersloh .de/
http: // www .voov .de/
http: // www .walsch .de/
http: // www .wchat .cz/
http: // www .wg-aufbau-bautzen .de/
http: // www .wzhuate .com/
http: // xotravel .ru/
http: // yeniguntugla .com/
http: // yetii .no-ip .com/
http: // zebrachina .net/
http: // zsnabreznaknm .sk/

Si logra hacerlo, lo copiará con el siguiente nombre y luego lo ejecutará:

c:\windows\system32\re_file.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Cuando se propaga, busca direcciones para enviarse en archivos del equipo infectado con las siguientes extensiones:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Evita enviarse a direcciones que contengan los siguientes textos en su nombre:

@avp.
@foo
@iana
@messagelab
abuse
admin
[email protected]
bsd
[email protected]
cafee
certific
[email protected]
feste
free-av
f-secur
[email protected]
google
[email protected]
icrosoft
[email protected]
kasp
linux
listserv
local
news
[email protected]
[email protected]
noreply
ntivi
panda
pgp
[email protected]
[email protected]
[email protected]
samples
sopho
spam
support
unix
update
winrar
winzip

Se conecta a uno de los siguientes sitios para descargar un archivo PHP:

http: // accesible .cl/1/
http: // amdlady .com/1/
http: // avataresgratis .com/1/
http: // beyoglu .com .tr/1/
http: // brandshock .com/1/
http: // camaramafra .sc .gov .br/1/
http: // camposequipamentos .com .br/1/
http: // cbradio .sos .pl/1/
http: // c-d-c .com .au/1/
http: // coparefrescos .stantonstreetgroup .com/1/
http: // creainspire .com/1/
http: // desenjoi .com .br/1/
http: // hotelesalba .com/1/
http: // inca .dnetsolution .net/1/
http: // veranmaisala .com/1/
http: // wklight .nazwa .pl/1/
http: // www .auraura .com/1/
http: // www .buydigital .co .kr/1/
http: // www .diem .cl/1/
http: // www .discotecapuzzle .com/1/
http: // www .inprofile .gr/1/
http: // www .klanpl .com/1/
http: // www .titanmotors .com/images/1/
http: // yongsan24 .co .kr/1/

Dicho archivo es copiado con el siguiente nombre:

c:\windows\elist.xpt

ELIST.XPT contiene una lista de direcciones electrónicas.

---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows


Fuente: VSANTIVIRUS
[hr]


Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Compartir
  #1  
Creado: 23-Jun-2006, a las 22:07 Vistas: 804
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
baglegn, oculta, procesos, protecciones


Temas Similares
» Pardona.P. Oculta sus procesos, infecta ejecutables 0
» Pardona.M. Oculta sus procesos, infecta ejecutables 0
» Pardona. Oculta sus procesos, infecta ejecutables 0
» Pardona.F. Oculta sus procesos, infecta ejecutables 0
» Pardona.E. Oculta sus procesos, infecta ejecutables 0
» Bagle.FW. Se inyecta en procesos de Windows 0
» KillAV.FT. Finaliza procesos de antivirus y firewalls 0
» Bagle.EA. Finaliza antivirus, descarga código 0
» KillAV.EA. Finaliza procesos de antivirus y firewalls 0
» KillAV.FB. Finaliza procesos de antivirus y firewalls 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 00:53.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4