« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: W32/Bagle.AX y AY, Se propagan por e-mail y P2P  (Leído 1544 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
W32/Bagle.AX y AY, Se propagan por e-mail y P2P
« en: 28 de Enero de 2005, 02:52:14 pm »
W32/Bagle.AX y AY, Se propagan por e-mail y P2P
 
Nombre: W32/Bagle.AX
Nombre NOD32: Win32/Bagle.AX
Tipo: Gusano de Internet
Alias: Bagle.AX, Win32/Bagle.AX, Email-Worm.Win32.Bagle.ax, W32/Bagle-AY, W32/Bagle.bk@MM, W32.Beagle.AZ@mm, WORM_BAGLE.AZ, Win32.Bagle.AU
 Plataforma: Windows 32-bit
Tamaño: 19,810 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP 81
Ultima actualización: 28/ene/05

Herramienta de limpieza

Variante del Bagle.AW, detectado el 27 de enero de 2005. Gusano escrito en Visual C, que se propaga por correo electrónico. También intenta propagarse por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)

Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.

Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.

Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.

Los mensajes que utiliza para su propagación tienen las siguientes características:

De: [una dirección falsa]

Asunto: [uno de los siguientes]
- Delivery by mail
- Delivery service mail
- Is delivered mail
- Registration is accepted
- You are made active
Texto del mensaje: [uno de los siguientes
- Before use read the help
- Thanks for use of our software.
Datos adjuntos: [uno de los siguientes]
guupd02.???
Jol03.???
siupd02.???
upd02.???
viupd02.???
wsd01.???
zupd02.???
Donde "???" puede ser alguna de las siguientes extensiones:
.com
.cpl
.exe
.scr
Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows:
c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen

Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sysformat = c:\windows\system32\sysformat.exe
Crea también las siguientes entradas para almacenar valores de su configuración actual (no todas estarán presentes):
HKEY_CURRENT_USER\Software\Microsoft\Params
Riga = [valor al azar]
TimeKey = [valor al azar]
HKCU\Software\Microsoft\DownloadManager
HKLM\SOFTWARE\Microsoft\DownloadManager

Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Ignora direcciones de correo que contengan las siguientes cadenas:
@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip

El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:
1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe
Posee algunas características de troyano de acceso remoto y para ello abre los puertos TCP/81, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior.

También intenta descargar de los siguientes dominios, un archivo llamado ERROR.JPG, que luego copia como RE_FILE.EXE en la carpeta de Windows\System (o Windows\System32):
www .24-7-transportation .com
www .adhdtests .com
www .aegee .org
www .aimcenter .net
www .alupass .lu
www .amanit .ru
www .andara .com
www .angelartsanctuary .com
www .anthonyflanagan .com
www .approved1stmortgage .com
www .argontech .net
www .asianfestival .nl
www .atlantisteste .hpg .com .br
www .aviation-center .de
www .bbsh .org
www .bga-gsm .ru
www .boneheadmusic .com
www .bottombouncer .com
www .bradster .com
www .buddyboymusic .com
www .bueroservice-it .de
www .calderwoodinn .com
www .capri-frames .de
www .celula .com .mx
www .ceskyhosting .cz
www .cntv .info
www .compsolutionstore .com
www .coolfreepages .com
www .corpsite .com
www .couponcapital .net
www .cpc .adv .br
www .crystalrose .ca
www .cscliberec .cz
www .curtmarsh .com
www .customloyal .com
www .chinasenfa .com
www .DarrkSydebaby .com
www .deadrobot .com
www .dontbeaweekendparent .com
www .dragcar .com
www .ecofotos .com .br
www .elenalazar .com
www .ellarouge .com .au
www .esperanzaparalafamilia .com
www .eurostavba .sk
www .everett .wednet .edu
www .fcpages .com
www .featech .com
www .fepese .ufsc .br
www .firstnightoceancounty .org
www .flashcorp .com
www .fleigutaetscher .ch
www .fludir .is
www .freeservers .com
www .FritoPie .NET
www .gamp .pl
www .gci-bln .de
www .gcnet .ru
www .generationnow .net
www .gfn .org
www .giantrevenue .com
www .glass .la
www .handsforhealth .com
www .hartacorporation .com
www .himpsi .org
www .idb-group .net
www .immonaut .sk
www .ims-i .com
www .innnewport .com
www .irakli .org
www .irinaswelt .de
www .jansenboiler .com
www .jasnet .pl
www .jhaforpresident .7p .com
www .jimvann .com
www .jldr .ca
www .justrepublicans .com
www .kencorbett .com
www .knicks .nl
www .kps4parents .com
www .kradtraining .de
www .kranenberg .de
www .lasermach .com
www .leonhendrix .com
www .magicbottle .com .tw
www .mass-i .kiev .ua
www .mepbisu .de
www .mepmh .de
www .metal .pl
www .mexis .com
www .mongolische-renner .de
www .mtfdesign .com
www .oboe-online .com
www .ohiolimo .com
www .onepositiveplace .org
www .oohlala-kirkland .com
www .orari .net
www .pankration .com
www .pe-sh .com
www .pfadfinder-leobersdorf .com
www .pipni .cz
www .polizeimotorrad .de
www .programmierung2000 .de
www .pyrlandia-boogie .pl
www .raecoinc .com
www .realgps .com
www .redlightpictures .com
www .reliance-yachts .com
www .relocationflorida .com
www .rentalstation .com
www .rieraquadros .com .br
www .scanex-medical .fi
www .sea .bz .it
www .selu .edu
www .sigi .lu
www .sljinc .com
www .smacgreetings .com
www .soloconsulting .com
www .spadochron .pl
www .srg-neuburg .de
www .ssmifc .ca
www .sugardas .lt
www .sunassetholdings .com
www .szantomierz .art .pl
www .the-fabulous-lions .de
www .tivogoddess .com
www .tkd2xcell .com
www .topko .sk
www .transportation .gov .bh
www .travelchronic .de
www .traverse .com
www .uhcc .com
www .ulpiano .org
www .uslungiarue .it
www .vandermost .de
www .vbw .info
www .velezcourtesymanagement .com
www .velocityprint .com
www .vikingpc .pl
www .vinirforge .com
www .wecompete .com
www .worest .com .ar
www .woundedshepherds .com
www .wwwebad .com
www .wwwebmaster .com

Mientras se está ejecutando, intenta finalizar los siguientes procesos:
alogserv.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avpupd.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky.

Herramienta de limpieza automática:
Descargue y ejecute esta herramienta de NOD32 en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleAX

Herramienta de limpieza (c) Future Time Srl

Reparación Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden estar presentes):
c:\windows\system32\re_file.exe
c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Params
3. Pinche en la carpeta "Params" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista:
Riga = [valor al azar]
TimeKey = [valor al azar]
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Sysformat
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\DownloadManager
7. Pinche en la carpeta "DownloadManager" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\DownloadManager
9. Pinche en la carpeta "DownloadManager" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
 
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información: http://www.vsantivirus.com/bagle-ax.htm
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
W32/Bagle.AX y AY, Se propagan por e-mail y P2P
« Respuesta #1 en: 28 de Enero de 2005, 03:36:09 pm »
Gracias danae

un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.