Bagle.DR. Gusano de Internet y caballo de TroyaA pesar de no ser un virus nuevo, se ha detectado un aumento considerable de infecciones por este virus, cuidado con él
Nombre: Bagle.DR
Nombre NOD32: Win32/Bagle.DR
Tipo: Gusano de Internet y caballo de Troya
Alias: Bagle.DR, Email-Worm.Win32.Bagle.ex, I-Worm.Bagle.gen, I-Worm/Bagle, I-Worm/Bagle.JH, TR/Bagle.ET, TR/Bagle.gen, Trj/Mitglieder.GB, Troj/BagleDl-AF, Troj/BagleDl-AG, Troj/BagleDl-AN, Trojan.Bagle.BK, Trojan.Bagle.BN, Trojan.Downloader.Bagle.F, Trojan.Downloader.Beagle.ex, Trojan.Lodear.E, Trojan/Bagle.ET, Trojan/Bagle.gen, Trojan/Downloader.Bagle.f, Trojan-Downloader.Win32.Bagle.BK, Trojan-Downloader.Win32.Bagle.d, Trojan-Downloader.Win32.Bagle.e, Trojan-Downloader.Win32.Bagle.f, Trojan-Downloader.Win32.Bagle.g, W32/Bagle.FQ@mm, W32/Bagle.FR@mm, W32/Bagle.FU.worm, W32/Bagle.gen, W32/Bagle.GEN@MM, W32/Downloader, W32/Mitglied.NQ, W32/Mitglied.NR, W32/Mitglieder.GG, W32/Mitglieder.GG!tr, W32/Mitglieder.GH, W32/Mitglieder.GH!tr, W32/Mitglieder.GI, W32/Mitglieder.GI!tr, W32/Mitglieder.GK!tr, W32/Mitglieder.GU, W32/Mitglieder.GU!tr, Win32.HLLM.Beagle.9219, Win32/Bagle.Antitroj!Downloader, Win32/Bagle.DR, Win32:Beagle-FR, Win32:Beagle-FT, Worm.Bagle.CB, Worm.Bagle.Gen-10, Worm.Bagle.Gen-9, Worm.Beagle.EL
Reactivado: 15/dic/05
Plataforma: Windows 32-bit
Tamaño: 9 Kb (aprox.)
Este gusano se propaga por correo electrónico. Básicamente consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".
El primero es un "downloader", un troyano generalmente enviado en forma de spam, y que descarga otro de los componentes del gusano.
Cuando el downloader se ejecuta (su tamaño es de unos 3 Kb aproximadamente), descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo:
c:\windows\system32\[nombre.exe]
Este archivo es el componente que se encarga del envío masivo de mensajes desde la máquina infectada (mass-mailer). Su tamaño es de aproximadamente 20 Kb.
Cuando se ejecuta, se copia a si mismo con el siguiente nombre:
c:\windows\system32\wind2ll2.exe Crea la siguiente entrada en el registro (que no se ejecuta por un error en el nombre de la clave):
HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
erfgddfk = "c:\windows\system32\wind2ll2.exe"
El gusano también borra múltiples entradas del registro, relacionadas con otros gusanos.
Dentro de este ejecutable se encuentra un .ZIP conteniendo otro de los componentes, un nuevo "downloader" que es propagado por el "mass-mailer" se encarga de propagar a través de mensajes de correo electrónico con las siguientes características:
Como "Asunto:", tendrá uno de los siguientes nombres:
Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuel
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
Christean
Christian
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
El nombre del archivo adjunto (el .ZIP mencionado antes), tomará también uno de esos nombres. Por ejemplo:
Ales.zip
Alice.zip
Wynefrede.zip
[etc...]
El texto del mensaje contendrá una de las siguientes líneas:
[nombre]
All-foto
AN-FOTO
D-Foto
FOTO-1
FOTO-2
FOTO-3
FOTO-4
foto-bank
foto-books
FOTO-DIGITAL
foto-flower
foto-forum
Foto-War
FOTO HOME
foto land
Foto Portal
foto telephone
Foto&Video
Foto.Md
Internet-foto
m-foto
MAIL.FOTO
my foto
OK-FOTO
S-Foto
VIP-foto
web-foto
Donde [nombre] también es uno de los usados en "Asunto:"
NOTA: Aunque son los mismos nombres, los mensajes usan diferentes combinaciones en cada caso.
Ejemplos de mensajes:
De: [dirección falsa]
Para: [nuestra dirección]
Asunto: Ralph
Texto del mensaje: Judith
Datos adjuntos: Valentyne.zip
De: [dirección falsa]
Para: [nuestra dirección]
Asunto: Constance
Texto del mensaje: Ann
Datos adjuntos: Wynnefreede.zip
El contenido del archivo .ZIP, tendrá uno de los siguientes nombres:
1.exe
12.exe
123.exe
S3700020.exe
Este archivo tiene unos 9 Kb aproximadamente.
Cuando el adjunto es abierto por el usuario, y el .EXE ejecutado, el mismo se copia en el sistema con el siguiente nombre:
c:\windows\system32\anti_troj.exe Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
anti_troj = "c:\windows\system32\anti_troj.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
anti_troj = "c:\windows\system32\anti_troj.exe"
Cuando se ejecuta, el gusano muestra una imagen que almacena en la siguiente ubicación:
c:\windows\system32\ntimage.gif
Esta imagen es mostrada solo una vez. Para ello el gusano crea la siguiente entrada en el registro:
HKCU\Software\FirstRRRun
FirstRRRun = [valor]
El "downloader" contiene una lista de direcciones de Internet desde donde descargará otros archivos (puerto TCP 80):
http:://202.44.52.38/
http:://209.126.128.203/
http:://25kadr.org/
http:://65.108.195.73/
http:://757555.ru/
http:://80.146.233.41/
http:://abtechsafety.com/
http:://abtechsafety.com/
http:://acentrum.pl/
http:://adavenue.net/
http:://adoptionscanada.ca/
http:://adventecgroup.com/
http:://agenciaspublicidadinternet.com/
http:://ahava.cafe24.com/
http:://aibsnlea.org/
http:://aikidan.com/
http:://ala-bg.net/
http:://alevibirligi.ch/
http:://alfaclassic.sk/
http:://allanconi.it/
http:://allinfo.com.au/
http:://americasenergyco.com/
http:://amerykaameryka.com/
http:://amistra.com/
http:://analisisyconsultoria.com/
http:://av2026.comex.ru/
http:://calamarco.com/
http:://ccooaytomadrid.org/
http:://charlies-truckerpage.de/
http:://drinkwater.ru/
http:://eleceltek.com/
http:://furdoszoba.info/
http:://kepter.kz/
http:://mijusungdo.net/
http:://oklens.co.jp/
http:://phrmg.org/
http:://s89.tku.edu.tw/
http:://sacafterdark.net/
http:://template.nease.net/
http:://tkdami.net/
http:://virt33.kei.pl/
http:://www.8ingatlan.hu/
http:://www.a2zhostings.com/
http:://www.abavitis.hu/
http:://www.adamant-np.ru/
http:://www.agroturystyka.artneo.pl/
http:://www.americarising.com/
http:://www.barth.serwery.pl/
http:://www.bmswijndepot.com/
http:://www.etwas-mode.de/
http:://www.leap.co.il/
http:://www.rewardst.com/
http:://www.timecontrol.com.pl/
http:://www.ubu.pl/
Si logra descargar un archivo (
llamado Z.PHP), el mismo es copiado con un nombre al azar en una carpeta llamada
EXEFLD, dentro de la carpeta del sistema, y luego ejecutado:
c:\windows\system32\exefld\[nombre].exe
Reparación:Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
- Botón derecho del ratón sobre Mi PC
- Propiedades
- Pestaña Restaurar Sistema
- Marcamos la casilla "Desactivar Restaurar sistema en todas las unidades"
- Aplicar.
- Cuando el sistema nos pregunte si estamos seguros de querer deshabilitarlo. Confírmos pulsando en SI.
La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris).
- Pulsamos en el botón Aceptar.
Reparación AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Ru1n
5. Haga clic en la carpeta "Ru1n" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\FirstRRRun
7. Haga clic en la carpeta "FirstRRRun" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Ru1n
11. Haga clic en la carpeta "Ru1n" y bórrela.
12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Más información:
http://www.vsantivirus.com/
