Tema: Hilo recopilacion de informacion sobre virus
Ver Mensaje Individual
Antiguo 29/01/2005, 02:28   #30
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
[b]W32/Bagle.AX. Se propaga por e-mail y P2P (más)[/b]

Nombre: W32/Bagle.AX
Nombre NOD32: Win32/Bagle.AX
Tipo: Gusano de Internet
Alias: Bagle.AX, Win32/Bagle.AX, Email-Worm.Win32.Bagle.ax, W32/Bagle-AY, W32/Bagle.bk@MM, W32.Beagle.AZ@mm, WORM_BAGLE.AZ, Win32.Bagle.AU
Fecha: 27/ene/05
Plataforma: Windows 32-bit
Tamaño: 19,810 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP 81
Ultima actualización: 28/ene/05
Herramienta de limpieza

Variante del Bagle.AW, detectado el 27 de enero de 2005. Gusano escrito en Visual C, que se propaga por correo electrónico. También intenta propagarse por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)

Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse.

Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.

Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.

Los mensajes que utiliza para su propagación tienen las siguientes características:

De: [una dirección falsa]

Asunto: [uno de los siguientes]

- Delivery by mail
- Delivery service mail
- Is delivered mail
- Registration is accepted
- You are made active

Texto del mensaje: [uno de los siguientes

- Before use read the help
- Thanks for use of our software.

Datos adjuntos: [uno de los siguientes]

guupd02.???
Jol03.???
siupd02.???
upd02.???
viupd02.???
wsd01.???
zupd02.???

Donde "???" puede ser alguna de las siguientes extensiones:

.com
.cpl
.exe
.scr

Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows:

c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sysformat = c:\windows\system32\sysformat.exe

Crea también las siguientes entradas para almacenar valores de su configuración actual (no todas estarán presentes):

HKEY_CURRENT_USER\Software\Microsoft\Params
Riga = [valor al azar]
TimeKey = [valor al azar]

HKCU\Software\Microsoft\DownloadManager
HKLM\SOFTWARE\Microsoft\DownloadManager

Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Ignora direcciones de correo que contengan las siguientes cadenas:

@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip

El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:

1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe

Posee algunas características de troyano de acceso remoto y para ello abre los puertos TCP/81, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior.

También intenta descargar de los siguientes dominios, un archivo llamado ERROR.JPG, que luego copia como RE_FILE.EXE en la carpeta de Windows\System (o Windows\System32):
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Subir