I-Worm.Bagle.ai

I-Worm.Bagle.ai« Volver al listado de Virus

Alias:

Bagle.AI, W32/Bagle.AH.worm, W32/Bagle.ai@MM

Kaspersky Labs. ha informado de la aparición de nuevas versiones del virus Bagle, de similares carecteristicas a los anteriores esta version .ai esta teniendo una gran difusión.

Este gusano extiende vía Internet mendiante un archivo adjunto a un correo electrónico y también vía las redes P2P.
Su tamaño es aproximadamente de 20 KB y esta comprimido en PEX.

Infeccion y propagacion:

Cuando se ejecuta, Una vez lanzado, el gusano se copia en el directorio del sistema operativo como winxp.exe, además también crea los siguientes archivos en este mismo directorio:

winxp.exeopen
winxp.exeopenopen
winxp.exeopenopenopen
winxp.exeopenopenopenopen

El gusano añade la siguiente entrada en el registro, para autoejecutarse cada vez que reiniciamos el sistema:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"importante" = "% system%\winxp.exe"

El gusano busca direcciones de correo en los archivos con las siguientes extensiones que encuentre en los discos del ordenador infectado:

.eml
.txt
.php
.asp
.wab
.xls
.mdx
.mmf
.uin
.shtm
.cgi
.dhtm
.pl
.htm
.html
.adb
.tbb
.dbx
.sht
.oft
.msg
.jsp
.wsh
.xml

Posee su propio motor SMT con el que se reenvia a las direcciones encontradas.

Los correos electrónicos con los que se reenvía este gusano tienen las siguientes características.

De: {Falso remitente}
Cualquier dirección de las obtenidas por el virus en el ordenador infectado.

Asunto:

.Re:

Cuerpo del mensaje:

.Animals
.foto3 and MP3
.fotogalary and Music
.fotoinfo
.Lovely animals
.Predators
.Screen and Music
.The snake

Archivo adjunto:
El archivo adjunto puede tener alguno de los siguientes nombres:
.Cat
.Cool_MP3
.Dog
.Doll
.Fish
.Garry
.MP3
.Music_MP3
.New_MP3_Player

y puede tener algunas de estas extensiones:
.com
.cpl
.exe
.scr
.zip

Propagación vía P2P:

El virus rastrea en los discos buscando carpetas que contienen en su nombre la cadena de caracteres shar. Se copia entonces varias veces en estas carpetas con los siguientes nombres:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Otras caracteristicas:

El gusano abre puerto 1080 y otro puerto escogido al azar y rastrea la actividad de estos puertos.

Esta programado para cesar la actividad y autodestruirse después del dia 5 de mayo del 2006.

Rastrea la ejecución de los productos antivirus mas conocidos y cortafuegoes y detiene estos programas.

El cuerpo del gusano contiene una lista de URLs, con las que intenta conectar.

Desinfección:

La protección contra el I-WORM.BAGLE.AI ya se añadió a las bases de virus de Kaspersky Antivirus, mantenga actualizado su Antivirus.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.