Bagle.JB. Gusano de Internet y caballo de Troya

W-Bot

Nombre: Bagle.JB
Nombre NOD32: Win32/Bagle.JB
Tipo: Gusano de Internet y caballo de Troya
Alias: Bagle.JB, Mal/BaglePak, Win32/Bagle.JB
Fecha: 15/ago/07
Plataforma: Windows 32-bit
Tamaño: 263,057 bytes

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

El primero es un "downloader", un troyano que probablemente es enviado en forma de spam, y que descarga otro de los componentes del gusano.

Cuando el downloader se ejecuta (su tamaño es de unos 3 KB aproximadamente), descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo:
c:\windows\system32\[nombre 1.exe]

Este archivo es el componente que se encarga del envío masivo de mensajes desde la máquina infectada (mass-mailer). Cuando se ejecuta, se copia a si mismo con un nuevo nombre:

c:\windows\system32\[nombre 2.exe]

Crea alguna de las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre 2.exe]"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre 2.exe]"

El gusano también borra múltiples entradas del registro, relacionadas con otros gusanos.

Dentro de este ejecutable se encuentra un .ZIP conteniendo otro de los componentes, un nuevo "downloader" que es propagado por el "mass-mailer" a través de mensajes de correo electrónico con diferentes asuntos, textos y nombres de archivo adjuntos.

---------------------------------------------------------------------------------------------------
REPARACION MANUAL

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
---------------------------------------------------------------------------------------------------
Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro de Windows

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".

6. Cierre el editor del registro.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Fuente: VSANTIVIRUS
[hr]

!!! IMPORTANTE !!!
Ahora siga los PROCEDIMIENTOS DE REPARACION MANUAL RECOMENDADOS POR WILKINSONPC

Archivo HOSTS | Descargar Antivirus NOD32 | Comprar Antivirus NOD32 | Agnitum Outpost Firewall

Bagle.JB. Gusano de Internet y caballo de Troya

Estas viendo: Bagle.JB. Gusano de Internet y caballo de Troya

Bagle.JB. Gusano de Internet y caballo de Troya