NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de virus w32/Bagle de PROPAGACIÓN MEDIA.

 

Nombre de virus: W32/Bagle.az@MM
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y P2P.
Activación: Por ejecución de fichero .EXE, .SCR o .CPL
Detección: desde DATS 4395
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)

W32/Bagle.az@MM es un gusano mass-mailing que presenta las siguientes características:

  • contiene su propio motor SMTP para construir mensajes salientes.
  • recopila direcciones de email del equipo infectado.
  • la dirección From: (Remitente) de los mensajes es falseada.
  • contiene un componente de acceso remoto.
  • realiza una copia de sí mismo a carpetas que contengan en el nombre la cadena shar (habitual en aplicaciones peer-to-peer comunes como KaZaa, Bearshare, Limewire, etc)
  • finaliza procesos de programas de seguridad y otros gusanos
  • borra entradas de registro de programas de seguridad y de otros gusanos

Propagación por Correo Electrónico

Remitente : (la dirección es falseada)

Asunto :

  • Re:
  • Re: Hello
  • Re: Thank you!
  • Re: Thanks :)
  • Re: Hi

Mensaje:

  • :)
  • :))

Fichero adjunto : (con una extensión .exe, .scr, .com o .cpl)

  • Price
  • price
  • Joke

El virus se copia al directorio Windows System, como BAWINDO.EXE. Por ejemplo:

  • C:\WINDOWS\SYSTEM32\bawindo.exe

También crea otros ficheros en este directorio para realizar sus funciones:

  • C:\WINDOWS\SYSTEM32\bawindo.exeopen
  • C:\WINDOWS\SYSTEM32\bawindo.exeopenopen

Añade la siguiente clave de registro para cargarse al inicio del sistema:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run "bawindo" = "C:\WINDOWS\SYSTEM32\bawindo.exe"

Este virus construye mensajes utilizando su propio motor SMTP. Las direcciones de correo electrónico las recopila de ficheros con las siguientes extensiones:

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp


Falsea el remitente del mensaje, utilizando una dirección recopilada del equipo infectado.

El virus evita enviarse a direcciones que contengan lo siguiente:

  • @hotmail
  • @msn
  • @microsoft
  • rating@
  • f-secur
  • news
  • update
  • anyone@
  • bugs@
  • contract@
  • feste
  • gold-certs@
  • help@
  • info@
  • nobody@
  • noone@
  • kasp
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • sopho
  • @foo
  • @iana
  • free-av
  • @messagelab
  • winzip
  • google
  • winrar
  • samples
  • abuse
  • panda
  • cafee
  • spam
  • pgp
  • @avp.
  • noreply
  • local
  • root@
  • postmaster@

Propagación Peer To Peer

Crea los siguientes ficheros en carpetas que contengan la cadena shar :

  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Porno Screensaver.scr
  • Serials.txt.exe
  • KAV 5.0
  • Kaspersky Antivirus 5.0
  • Porno pics arhive, xxx.exe
  • Windows Sourcecode update.doc.exe
  • Ahead Nero 7.exe
  • Windown Longhorn Beta Leak.exe
  • Opera 8 New!.exe
  • XXX hardcore images.exe
  • WinAmp 6 New!.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • Adobe Photoshop 9 full.exe
  • Matrix 3 Revolution English Subtitles.exe
  • ACDSee 9.exe

Finalización de Procesos de programas de Seguridad

El virus contiene código para matar procesos que coincidan con la siguiente lista de nombres de fichero, los cuales pertenecen a otros gusanos y productos que pudieran identificar o interferir con sus acciones:

  • alogserv.exe
  • APVXDWIN.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • Avconsol.exe
  • AVENGINE.EXE
  • AVPUPD.EXE
  • Avsynmgr.exe
  • AVWUPD32.EXE
  • AVXQUAR.EXE
  • blackd.exe
  • ccApp.exe
  • ccEvtMgr.exe
  • ccProxy.exe
  • ccPxySvc.exe
  • CFIAUDIT.EXE
  • DefWatch.exe
  • DRWEBUPW.EXE
  • ESCANH95.EXE
  • ESCANHNT.EXE
  • FIREWALL.EXE
  • FrameworkService.exe
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • LUALL.EXE
  • LUCOMS~1.EXE
  • mcagent.exe
  • mcshield.exe
  • MCUPDATE.EXE
  • mcvsescn.exe
  • mcvsrte.exe
  • mcvsshld.exe
  • navapsvc.exe
  • navapw32.exe
  • NISUM.EXE
  • nopdb.exe
  • NPROTECT.EXE
  • NUPGRADE.EXE
  • OUTPOST.EXE
  • PavFires.exe
  • pavProxy.exe
  • pavsrv50.exe
  • Rtvscan.exe
  • RuLaunch.exe
  • SAVScan.exe
  • SHSTAT.EXE
  • SNDSrvc.exe
  • symlcsvc.exe
  • UPDATE.EXE
  • UpdaterUI.exe
  • Vshwin32.exe
  • VsStat.exe
  • VsTskMgr.exe

Eliminación de Entradas de Registro

En las dos ubicaciones siguientes

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run

borra las siguientes claves de otros gusanos y productos de seguridad:

  • "My AV"
  • "Zone Labs Client Ex"
  • "9XHtProtect"
  • "Antivirus"
  • "Special Firewall Service"
  • "service"
  • "Tiny AV"
  • "ICQNet"
  • "HtProtect"
  • "NetDy"
  • "Jammer2nd"
  • "FirewallSvr"
  • "MsInfo"
  • "SysMonXP"
  • "EasyAV"
  • "PandaAVEngine"
  • "Norton Antivirus AV"
  • "KasperskyAVEng"
  • "SkynetsRevenge"
  • "ICQ Net"

Componente de Acceso Remoto

El virus escucha en el puerto TCP 81 y en un puerto UDP aleatorio a la espera de conexiones remotas.

 

Detección y eliminación

El gusano se controla desde los DAT 4395 y motor 4320 arriba indicados.

SATINFO, VIRUSCAN SPAIN SERVICE 29 de Septiembre de 2004

Anterior