I-Worm.Bagle.at, I-Worm.Bagle.au

Estás en Inicio: Soporte Técnico: Alertas de Virus: I-Worm.Bagle.at, I-Worm.Bagle.au

I-Worm.Bagle.at, I-Worm.Bagle.au« Volver al listado de Virus

Ambos virus son muy parecidos y su funcinamiento es el mismo, nos basaremos en la descripción del virus Bagle.At.

Información Técnica:

Bagle.at es un gusano que se propaga como un adjunto de correo electrónico. El virus instala un servidor proxy y busca las direcciones de correo en la libreta de direcciones del ordenador infectado.

Bagle.at es un archivo Windows PE EXE con un tamaño de unos 20 KB. Está empaquetado con PeX y una vez desempaquetado su tamaño es de unos 30 KB

Infeccion:

Cuando se propaga como un archivo Windows PE EXE file, Bagle.at se copia a si mismo bajo uno de los siguientes nombre:

C:\WINDOWS\SYSTEM32\wingo.exe
C:\WINDOWS\SYSTEM32\wingo.exeopen
C:\WINDOWS\SYSTEM32\wingo.exeopenopen

El gusano añade la siguiente entrada en el registro, para autoejecutarse cada vez que reiniciamos el sistema:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wingo"="%system%\wingo.exe"

Si se propaga como un archivo Windows Control Panel Applet (CPL), Bagle.at añade un pequeño contador a su código binario. Cuando se ejecuta, se copia en el directorio de Windows bajo en nombre de cjector.exe. Este segundo ejecutable mueve el gusano al directorio System de Windows.

Propagación via email:

Bagle.at escanea el disco local buscando archivos con las siguientes extensiones:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

Después envía copias de si mismo a las direcciones de correo que encuentre, conectándose a los servidores SMTP recipientes para enviarse.

Bagle.at no envía copias a destinatarios que tengan en la dirección de correo los siguientes textos:
@avp
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone
@bsd
bugs
@cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@

noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

Características del mensaje infectado.

Dirección del remitente:

Aleatoria.

Asunto::

Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)

Archivo adjunto:

Price
Joke

Extensiones del archivo adjunto:

.exe
.cpl
.scr
.com

Propagación vía P2P:

Bagle.at crea copias de si mismo en todas las carpetas donde la palabra ‘share’ está en el nombre. Los nombres de los archivos son escogidos aleatoriamente de la siguiente lista:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Administración remota

Bagle.at abre el puerto TCP 81 y escucha esperando diferentes instrucciones. Por ejemplo, instala un servidor proxy que puede ser controlado vía ese puerto.

Otras Características:

Bagle.at intenta conectarse a algunos servidores web comprometidos a un archivo llamado g.jpg. Estos sitios web estaban inaccesibles en el momento de este análisis.

Bagle.at también intenta deshabilitar firewalls y antivirus deteniendo los siguientes procesos:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

Desinfección manual:

1. Reinicie en modo a prueba de fallos - Pulsando F8 cuando esté reiniciando y escoja Modo seguro en el menú cuando aparezca.

2. Elimine los siguientes archivos del directorio del sistema de Windows:

wingo.exe
wingo.exeopen
wingo.exeopenopen

3. Elimine las siguientes claves del registro de Windows:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wingo"="%system%\wingo.exe"

4. Reinicie el ordenador y asegúrese de eliminar todos los correos infectados de todas las carpetas de su cliente de correo electrónico.

La protección contra el I-WORM.BAGLE.At y I-WORM.BAGLE.Au ya se añadió a las bases de virus de Kaspersky Antivirus, mantenga actualizado su Antivirus.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.