VIRUS: *WIN32/BAGLE.BA

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS: *WIN32/BAGLE.BA

Compartir

DESCRIPCION

nombre: Win32/Bagle.BA
aliases: Bagle.BA, Email-Worm.Win32.Bagle.bd, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle.BO, Trj/Mitglieder.BQ, Troj/BagleDl-L, Trojan.Small-57-6, Trojan.Tooso.C, W32/Bagle.BL, W32/Bagle.BL-mm, W32/Mitglied.DQ, W32/Mitglieder.gen, Win32.Bagle.BA, [email protected], Win32.Glieder.O!ZIP, Win32.Glieder.Q, Win32.HLLM.Beagle.34304, W32/Bagle.BA, Win32/Bagle.BA!Worm, Win32/Glieder.O!Trojan, Worm/Bagle.BE
tipo: Troyano
fecha: 01/03/2005
gravedad general: Media
distribución: *Media
daño: Medio
tamaño: 34,304 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Variante del gusano Bagle detectada el 1 de marzo de 2005, y enviada masivamente en forma de spam. Se trata de un troyano que libera al gusano en las máquinas infectadas (dropper). Existe herramienta de limpieza.

CARACTERISTICAS

El troyano es enviado como adjunto con alguno de estos nombres:

*price.zip
*price2.zip
*price_new.zip
*price_08.zip
*08_price.zip
*newprice.zip
*new_price.zp
*new__price.zip

El archivo .ZIP contiene siempre el siguiente archivo:

*doc_02.exe

DOC_02.EXE es una copia del troyano. Cuando se ejecuta, se copia a si mismo en la siguiente ubicación:

*c:\windows\system32\WINSHOST.EXE

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

*HKCU\Software\Microsoft\Windows\CurrentVersion\Ru n
*winshost.exe = "winshost.exe"

*HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n
*winshost.exe = "winshost.exe"

Luego, el troyano libera el siguiente archivo:

*c:\windows\system32\WIWSHOST.EXE

WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), de 18.944 bytes, que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnologia NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código.

Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer.

Para prevenir que el software antivirus pueda ser actualizado, se sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información:

*127.0.0.1 localhost
*127.0.0.1 ad .doubleclick .net
*127.0.0.1 ad .fastclick .net
*127.0.0.1 ads .fastclick .net
*127.0.0.1 ar .atwola .com
*127.0.0.1 atdmt .com
*127.0.0.1 avp .ch
*127.0.0.1 avp .com
*127.0.0.1 avp .ru
*127.0.0.1 awaps .net
*127.0.0.1 banner .fastclick .net
*127.0.0.1 banners .fastclick .net
*127.0.0.1 ca .com
*127.0.0.1 click .atdmt .com
*127.0.0.1 clicks .atdmt .com
*127.0.0.1 dispatch .mcafee .com
*127.0.0.1 download .mcafee .com
*127.0.0.1 download .microsoft .com
*127.0.0.1 downloads .microsoft .com
*127.0.0.1 engine .awaps .net
*127.0.0.1 fastclick .net
*127.0.0.1 f-secure .com
*127.0.0.1 ftp .f-secure .com
*127.0.0.1 ftp .sophos .com
*127.0.0.1 go .microsoft .com
*127.0.0.1 liveupdate .symantec .com
*127.0.0.1 mast .mcafee .com
*127.0.0.1 mcafee .com
*127.0.0.1 media .fastclick .net
*127.0.0.1 msdn .microsoft .com
*127.0.0.1 my-etrust .com
*127.0.0.1 nai .com
*127.0.0.1 networkassociates .com
*127.0.0.1 office .microsoft .com
*127.0.0.1 phx .corporate-ir .net
*127.0.0.1 secure .nai .com
*127.0.0.1 securityresponse .symantec .com
*127.0.0.1 service1 .symantec .com
*127.0.0.1 sophos .com
*127.0.0.1 spd .atdmt .com
*127.0.0.1 support .microsoft .com
*127.0.0.1 symantec .com
*127.0.0.1 update .symantec .com
*127.0.0.1 updates .symantec .com
*127.0.0.1 us .mcafee .com
*127.0.0.1 vil .nai .com
*127.0.0.1 viruslist .ru
*127.0.0.1 windowsupdate .microsoft .com
*127.0.0.1 www .avp .ch
*127.0.0.1 www .avp .com
*127.0.0.1 www .avp .ru
*127.0.0.1 www .awaps .net
*127.0.0.1 www .ca .com
*127.0.0.1 www .fastclick .net
*127.0.0.1 www .f-secure .com
*127.0.0.1 www .kaspersky .ru
*127.0.0.1 www .mcafee .com
*127.0.0.1 www .my-etrust .com
*127.0.0.1 www .nai .com
*127.0.0.1 www .networkassociates .com
*127.0.0.1 www .sophos .com
*127.0.0.1 www .symantec .com
*127.0.0.1 www .trendmicro .com
*127.0.0.1 www .viruslist .ru
*127.0.0.1 ftp://ftp .kasperskylab .ru/updates/
*127.0.0.1 ftp://ftp .avp .ch/updates/
*127.0.0.1 http://www .kaspersky .ru/updates/
*127.0.0.1 http://updates1 .kaspersky-labs .com/updates/
*127.0.0.1 http://updates3 .kaspersky-labs .com/updates/
*127.0.0.1 http://updates4 .kaspersky-labs .com/updates/
*127.0.0.1 http://updates2 .kaspersky-labs .com/updates/
*127.0.0.1 http://updates5 .kaspersky-labs .com/updates/
*127.0.0.1 http://downloads1 .kaspersky-labs .com/updates/
*127.0.0.1 http://www .kaspersky-labs .com/updates/
*127.0.0.1 ftp://updates3 .kaspersky-labs .com/updates/
*127.0.0.1 ftp://downloads1 .kaspersky-labs .com/updates/
*127.0.0.1 www3 .ca .com
*127.0.0.1 ids .kaspersky-labs .com
*127.0.0.1 downloads2 .kaspersky-labs .com
*127.0.0.1 downloads1 .kaspersky-labs .com
*127.0.0.1 downloads3 .kaspersky-labs .com
*127.0.0.1 downloads4 .kaspersky-labs .com
*127.0.0.1 liveupdate .symantecliveupdate .com
*127.0.0.1 liveupdate .symantec .com
*127.0.0.1 update .symantec .com
*127.0.0.1 download .mcafee .com
*127.0.0.1 www .symantec .com
*127.0.0.1 securityresponse .symantec .com
*127.0.0.1 symantec .com
*127.0.0.1 www .sophos .com
*127.0.0.1 sophos .com
*127.0.0.1 www .mcafee .com
*127.0.0.1 mcafee .com
*127.0.0.1 liveupdate .symantecliveupdate .com
*127.0.0.1 www .viruslist .com
*127.0.0.1 viruslist .com
*127.0.0.1 f-secure .com
*127.0.0.1 www .f-secure .com
*127.0.0.1 kaspersky .com
*127.0.0.1 kaspersky-labs .com
*127.0.0.1 www .avp .com
*127.0.0.1 www .kaspersky .com
*127.0.0.1 avp .com
*127.0.0.1 www .networkassociates .com
*127.0.0.1 networkassociates .com
*127.0.0.1 www .ca .com
*127.0.0.1 ca .com
*127.0.0.1 mast .mcafee .com
*127.0.0.1 my-etrust .com
*127.0.0.1 www .my-etrust .com
*127.0.0.1 download .mcafee .com
*127.0.0.1 dispatch .mcafee .com
*127.0.0.1 secure .nai .com
*127.0.0.1 nai .com
*127.0.0.1 www .nai .com
*127.0.0.1 update .symantec .com
*127.0.0.1 updates .symantec .com
*127.0.0.1 us .mcafee .com
*127.0.0.1 liveupdate .symantec .com
*127.0.0.1 customer .symantec .com
*127.0.0.1 rads .mcafee .com
*127.0.0.1 trendmicro .com
*127.0.0.1 www .trendmicro .com
*127.0.0.1 www .grisoft .com

El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres:

*Ahnlab task Scheduler
*alerter
*AlertManger
*AVExch32Service
*avg7alrt
*avg7updsvc
*AvgCore
*AvgFsh
*AvgServ
*AVPCC
*avpcc
*AVUPDService
*AvxIni
*awhost32
*backweb client-4476822
*backweb client - 4476822
*BackWeb Client - 7681197
*BlackICE
*CAISafe
*ccEvtMgr
*ccPwdSvc
*ccSetMgr
*ccSetMgr.exe
*DefWatch
*dvpapi
*dvpinit
*F-Secure Gatekeeper Handler Starter
*fsbwsys
*FSDFWD
*fsdfwd
*FSMA
*KAVMonitorService
*kavsvc
*KLBLMain
*McAfee Firewall
*McAfeeFramework
*McShield
*McTaskManager
*mcupdmgr.exe
*MCVSRte
*MonSvcNT
*navapsvc
*Network Associates Log Service
*NISSERV
*NISUM
*NOD32ControlCenter
*NOD32Service
*Norman NJeeves
*Norman ZANDA
*Norton Antivirus Server
*NPFMntor
*NProtectService
*NSCTOP
*nvcoas
*NVCScheduler
*nwclntc
*nwclntd
*nwclnte
*nwclntf
*nwclntg
*nwclnth
*NWService
*Outbreak Manager
*Outpost Firewall
*OutpostFirewall
*PASSRV
*PAVFNSVR
*Pavkre
*PavProt
*PavPrSrv
*PAVSRV
*PCCPFW
*PersFW
*PREVSRV
*PSIMSVC
*ravmon8
*SAVFMSE
*SAVScan
*SAVScan
*SAVScan
*SBService
*schscnt
*sharedaccess
*SharedAccess
*SmcService
*SNDSrvc
*SPBBCSvc
*SweepNet
*SWEEPSRV.SYS
*Symantec AntiVirus Client
*Symantec Core LC
*Tmntsrv
*V3MonNT
*V3MonSvc
*VexiraAntivirus
*VisNetic AntiVirus Plug-in
*vsmon
*wuauserv
*XCOMM

Intentará borrar las siguientes ramas del registro para desinstalar la protección antivirus de numerosos productos:

*HKCU\Software\Microsoft\Windows\CurrentVersion\Ru n
*McAfee.InstantUpdate.Monitor

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*APVXDWIN

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*avg7_cc

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*avg7_emc

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*ccApp

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*KAV50

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*McAfee Guardian

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*NAV CfgWiz

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*SSC_UserPrompt

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*Symantec NetDriver Monitor

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n
*Zone Labs Client

*HKLM\SOFTWARE\Agnitum

*HKLM\SOFTWARE\KasperskyLab

*HKLM\SOFTWARE\McAfee

*HKLM\SOFTWARE\Panda Software

*HKLM\SOFTWARE\Symantec

*HKLM\SOFTWARE\Zone Labs

Intentará borrar cualquier archivo con alguno de los siguientes nombres, en todos los discos duros del sistema infectado:

*a5v.dll
*AUPD1ATE.EXE
*AUPDATE.EXE
*av.dll
*Av1synmgr.exe
*Avc1onsol.exe
*Avconsol.exe
*avg23emc.exe
*avgc3c.exe
*avgcc.exe
*avgemc.exe
*Avsynmgr.exe
*C1CSETMGR.EXE
*c6a5fix.exe
*cafix.exe
*CC1EVTMGR.EXE
*cc1l30.dll
*ccA1pp.exe
*ccApp.exe
*CCEVTMGR.EXE
*ccl30.dll
*CCSETMGR.EXE
*ccv1rtrst.dll
*ccvrtrst.dll
*CM1Grdian.exe
*CMGrdian.exe
*is5a6fe.exe
*isafe.exe
*K2A2V.exe
*KAV.exe
*kav12mm.exe
*kavmm.exe
*LUAL1L.EXE
*LUALL.EXE
*LUI1NSDLL.DLL
*LUINSDLL.DLL
*Luup1date.exe
*Luupdate.exe
*Mcsh1ield.exe
*Mcshield.exe
*mysuperprog.exe
*NAV1APSVC.EXE
*NAVAPSVC.EXE
*NPFM1NTOR.EXE
*NPFMNTOR.EXE
*outp1ost.exe
*outpost.exe
*RuLa1unch.exe
*RuLaunch.exe
*s1ymlcsvc.exe
*SND1Srvc.exe
*SNDSrvc.exe
*SP1BBCSvc.exe
*SPBBCSvc.exe
*symlcsvc.exe
*Up222Date.exe
*Up2Date.exe
*ve6tre5dir.dll
*vetredir.dll
*Vs1Stat.exe
*vs6va5ult.dll
*Vshw1in32.exe
*Vshwin32.exe
*VsStat.exe
*vsvault.dll
*zatu6tor.exe
*zatutor.exe
*zatutor.exe
*zl5avscan.dll
*zlavscan.dll
*zlavscan.dll
*zlcli6ent.exe
*zlclient.exe
*zo3nealarm.exe
*zonealarm.exe
*zonealarm.exe

Intentará detener también los siguientes servicios:

*SharedAccess
*wscsvc

También intentará finalizar los procesos activos con cualquiera de los siguientes nombres:

*atupdater.exe
*aupdate.exe
*autodown.exe
*autotrace.exe
*autoupdate.exe
*avpupd.exe
*avwupd32.exe
*avxquar.exe
*avxquar.exe
*cfiaudit.exe
*drwebupw.exe
*escanh95.ex
*escanhnt.exe
*firewall.exe
*icssuppnt.exe
*icsupp95.exe
*luall.exe
*mcupdate.exe
*nupgrade.exe
*outpost.exe
*update.exe
*upgrader.exe

Además intentará descargar otros archivos de numerosos servidores de Internet. Cualquiera de dichos archivos que sea descargado, será inmediatamente copiado en la siguiente ubicación y luego ejecutado:

*c:\windows\_re_file.exe

El primer intento ocurrirá apenas el troyano se ejecuta. Los restantes ocurrirán cada seis horas aproximadamente.

Este troyano fue detectado proactivamente por la heurística de NOD32, aún antes de ser agregado a su base de datos.

INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleBB

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna "Nombre", la entrada "winshost.exe", en las siguientes claves del registro:

*HKCU\Software\Microsoft
*\Windows\CurrentVersion\Run

*HKLM\SOFTWARE\Microsoft
*\Windows\CurrentVersion\Run

3. Cierre el editor del registro.

4. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

*c:\windows\
*c:\windows\system32\drivers\etc\
*c:\winnt\system32\drivers\etc\

5. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

6. Borre todas las líneas que comiencen con un número, salvo las siguientes:

*127.0.0.1 * * localhost

7. Acepte guardar los cambios al salir del bloc de notas.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 02-Mar-2005, a las 05:44 Vistas: 384
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS: WIN32/VB.NAS 0
» VIRUS: WIN32/VB.CZ 0
» VIRUS: *WIN32/BROPIA.P 0
» VIRUS: *WIN32/BAGZ.H 0
» VIRUS: *WIN32/MYFIP.Q 0
» VIRUS: *WIN32/MYTOB.F 0
» VIRUS: *WIN32/VB.NBO 0
» VIRUS:  WIN32/VB.NBN 0
» VIRUS: *WIN32/LOONY.L 0
» VIRUS: *WIN32/BAGLE.BB 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 15:53.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4