Bagle.GM. Oculta sus procesos, finaliza protecciones
Nombre: Bagle.GM
Nombre NOD32: Win32/Bagle.GM
Tipo: Gusano de Internet
Alias: Bagle.GM, Email-Worm.Bagle.1, Email-Worm.Win32.Bagle.fy, I-Worm.Bagle.JS, I-Worm/Bagle, Trojan.Bagle.BN, W32.Beagle.FF@mm, W32/Bagle.AL@mm, W32/Bagle.fb@MM, W32/Bagle.JP.worm, W32/Bagle-KL, W32/Mitglieder.TK, Win32.Bagle.ER@mm, Win32.HLLM.Beagle, Win32/Bagle.EF, Win32/Bagle.GM, Win32:Beagle-LZ, Worm/Bagle.GJ
Plataforma: Windows 32-bit
Tamaño: 85,508 bytes
Gusano que se propaga masivamente vía correo electrónico. Crea varios archivos en el equipo infectado, uno de ellos es un troyano con facilidades de rootkit que utiliza para ocultarse. Un error en su código, impide que este componente funcione al reiniciarse el PC.
También intenta descargar y ejecutar otro archivo desde diferentes sitios de Internet.
El gusano envía mensajes con las siguientes características:
De: [nombre falso]
Asunto: [uno de los siguientes textos]
Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Constance
Cybil
Christean
Christian
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
I love you
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
To the beloved
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede
Texto del mensaje: [1]+[2]
Donde [1] es uno de los siguientes:
[vacío]
I love you
To the beloved
Y [2] uno de los siguientes textos y una imagen:
The password is [imagen]
Password -- [imagen]
Use password [imagen] to open archive.
Password is [imagen]
Zip password: [imagen]
archive password: [imagen]
Password - [imagen]
Password: [imagen]
La imagen es un .GIF que muestra un número de 5 dígitos. Dicho número es la contraseña para abrir el adjunto, un .ZIP encriptado, que tendrá uno de los nombres usado para el "Asunto" (no necesariamente el mismo que tenga el mensaje).
Ejemplos:
Anthonie.zip
Bennet.zip
Cybil.zip
El archivo dentro del .ZIP es una copia del propio gusano con un nombre al azar. También contiene una carpeta y un .DLL que no posee código malicioso.
Al ejecutarse, el gusano crea la siguiente carpeta:
c:\windows\hidn
Crea en ella los siguientes archivos:
c:\windows\hidn\hidn.exe
c:\windows\hidn\m_hook.sys
NOTA: En lugar de la carpeta C:\WINDOWS\, puede crear HIDN dentro de la carpeta \APPLICATION DATA\. Esta puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:
C:\Documents and Settings\[Usuario]
\Configuración local\Application Data
C:\WINDOWS\Application Data
También crea el siguiente archivo, que solo contiene una imagen con el texto "Error" en grandes letras negras y fondo blanco, la que muestra la primera vez que se ejecuta:
c:\error.gif
Crea además el siguiente archivo, que es el ZIP encriptado que luego enviará como adjunto en sus mensajes:
c:\temp.zip
También crea las siguientes entradas en el registro:
HKCU\Software\FirstRuxzx
FirstRun = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[camino completo]\hidn\hidn.exe"
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
ImagePath = "c:\windows\hidn\m_hook.sys"
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
DisplayName = "Empty"
HKLM\SYSTEM\CurrentControlSet\enum\root\legacy_m_hook
La primera es una marca de infección, las siguientes autoejecutan al gusano en cada reinicio de Windows, y lanzan como servicio el componente que utiliza para ocultarse (por un error, el rootkit no se ejecuta al reiniciarse).
El gusano intentará deshabilitar los servicios que tengan los siguientes nombres:
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati HotKey Poller
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido security suite control
ewido security suite driver
ewido security suite guard
firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSFW
FSMA
FTPFILT.DLL
FwcAgent
fwdrv
Guard NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
NDIS_RD
Ndisuio
Network Associates Log Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavPrSrv
PavReport
PAVSRV
PCC_PFW
PCCPFW
PersFW
Personal Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
Quick Heal Online Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
T_H_S_M
The_Hacker_Antivirus
tm_cfw
Tmntsrv
TmPfw
tmproxy
tmtdi
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic AntiVirus Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wscsvc
wuauserv
xcomm
También intentará borrar la siguiente clave del registro, para evitar el reinicio de Windows en modo seguro:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
El gusano intenta descargar un archivo de los siguientes sitios de Internet:
http: // 1point2 .iae .nl/
http: // 5050clothing .com/
http: // appaloosa .no/
http: // apromed .com/
http: // arborfolia .com/
http: // areal-realt .ru/
http: // art4u1 .superhost .pl/
http: // art-bizar .foxnet .pl/
http: // asdesign .cz/
http: // avenue .ee/
http: // axelero .hu/
http: // bartex-cit .com .pl/
http: // bazarbekr .sk/
http: // bid-usa .com/
http: // biliskov .com/
http: // biomedpel .cz/
http: // bitel .ru/
http: // blackbull .cz/
http: // bohuminsko .cz/
http: // bonsai-world .com .au/
http: // bpsbillboards .com/
http: // cadinformatics .com/
http: // calamarco .com/
http: // canecaecia .com/
http: // ceramax .co .kr/
http: // cibernegocios .com .ar/
http: // cof666 .shockonline .net/
http: // comaxtechnologies .net/
http: // compucel .com/
http: // concellodesandias .com/
http: // continentalcarbonindia .com/
http: // charlesspaans .com/
http: // chatsk .wz .cz/
http: // checkalertusa .com/
http: // dev .jintek .com/
http: // dogoodesign .ch/
http: // donchef .com/
http: // erich-kaestner-schule-donaueschingen .de/
http: // foxvcoin .com/
http: // ftp-dom .earthlink .net/
http: // gnu .univ .gda .pl/
http: // grupdogus .de/
http: // hotchillishop .de/
http: // ilikesimple .com/
http: // innovation .ojom .net/
http: // kisalfold .com/
http: // knickimbit .de/
http: // kremz .ru/
http: // massgroup .de/
http: // ouarzazateservices .com/
http: // pawlacz .com/
http: // poliklinika-vajnorska .sk/
http: // prime .gushi .org/
http: // stats-adf .altadis .com/
http: // svatba .viskot .cz/
http: // systemforex .de/
http: // ujscie .one .pl/
http: // uwua132 .org/
http: // vanvakfi .com/
http: // vega-sps .com/
http: // vidus .ru/
http: // viralstrategies .com/
http: // Vivamodelhobby .com/
http: // vkinfotech .com/
http: // vproinc .com/
http: // v-v-kopretiny .ic .cz/
http: // vytukas .com/
http: // waisenhaus-kenya .ch/
http: // watsrisuphan .org/
http: // wbecanada .com/
http: // web-comp .hu/
http: // webfull .com/
http: // welvo .com/
http: // wvpilots .org/
http: // www .ag .ohio-state .edu/
http: // www .ag .ohio-state .edu/
http: // www .artbed .pl/
http: // www .aureaorodeley .com/
http: // www .autoekb .ru/
http: // www .autovorota .ru/
http: // www .avinpharma .ru/
http: // www .castnetnultimedia .com/
http: // www .cort .ru/
http: // www .crfj .com/
http: // www .chapisteriadaniel .com/
http: // www .chittychat .com/
http: // www .jonogueira .com/
http: // www .kersten .de/
http: // www .kljbwadersloh .de/
http: // www .voov .de/
http: // www .walsch .de/
http: // www .wchat .cz/
http: // www .wg-aufbau-bautzen .de/
http: // www .wzhuate .com/
http: // xotravel .ru/
http: // yeniguntugla .com/
http: // yetii .no-ip .com/
http: // zebrachina .net/
http: // zsnabreznaknm .sk/
Si logra hacerlo, lo copiará con el siguiente nombre y luego lo ejecutará:
c:\windows\system32\re_file.exe
Cuando se propaga, busca direcciones para enviarse en archivos del equipo infectado con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Evita enviarse a direcciones que contengan los siguientes textos en su nombre:
@avp.
@foo
@iana
@messagelab
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Se conecta a uno de los siguientes sitios para descargar un archivo PHP:
http: // accesible .cl/1/
http: // amdlady .com/1/
http: // avataresgratis .com/1/
http: // beyoglu .com .tr/1/
http: // brandshock .com/1/
http: // camaramafra .sc .gov .br/1/
http: // camposequipamentos .com .br/1/
http: // cbradio .sos .pl/1/
http: // c-d-c .com .au/1/
http: // coparefrescos .stantonstreetgroup .com/1/
http: // creainspire .com/1/
http: // desenjoi .com .br/1/
http: // hotelesalba .com/1/
http: // inca .dnetsolution .net/1/
http: // veranmaisala .com/1/
http: // wklight .nazwa .pl/1/
http: // www .auraura .com/1/
http: // www .buydigital .co .kr/1/
http: // www .diem .cl/1/
http: // www .discotecapuzzle .com/1/
http: // www .inprofile .gr/1/
http: // www .klanpl .com/1/
http: // www .titanmotors .com/images/1/
http: // yongsan24 .co .kr/1/
Dicho archivo es copiado con el siguiente nombre:
c:\windows\elist.xpt
ELIST.XPT contiene una lista de direcciones electrónicas.
Reparación Antivirus y edición del registroActualice su antivirus con las últimas definiciones, luego siga estos pasos:
1. Descargue SAFEBOOT.REG desde el siguiente enlace y guárdelo en el escritorio, o algún lugar donde pueda encontrarlo más tarde (solo si tiene Windows XP):
http://www.videosoft.net.uy/safeboot.reg2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre todos los archivos detectados como infectados. No reinicie aún su equipo.
4. Haga clic en el archivo SAFEBOOT.REG descargado antes y acepte agregarlo al registro (solo si tiene Windows XP).
5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\FirstRuxzx
7. Haga clic en la carpeta "FirstRuxzx" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y borre la siguiente entrada:
drv_st_key
10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\m_hook
11. Haga clic en la carpeta "m_hook" y bórrela.
12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\enum
\root
\legacy_m_hook
13. Haga clic en la carpeta "legacy_m_hook" y bórrela.
14. Cierre el editor del registro.
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
16. Vuelva a ejecutar su antivirus para revisar su sistema.
Borrar archivos temporales1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/bagle-gm.htm
