NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Propagación masiva via spam de nuevas variantes de virus w32/Bagle.

Nombre de virus: W32/Bagle.gen@MM!9725 y W32/Bagle.gen!7B14EBCA
Alias conocidos: --
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: A través de correo electrónico
Activación: Por ejecución de fichero .EXE, incluido en el zip adjunto al mensaje
Detección: desde DATS 4635
Motor necesario: desde 4.4.00
Infección actual: Media (Inicial, Media, Elevada)

Esta semana han comenzado a propagar nuevas variantes de w32/Bagle. Se han enviado masivamente como spam, adjuntando un fichero ZIP, con el nombre de personas. Por ejemplo :

Edmund.zip
Elizabeth.zip
Fraunces.zip
Grace.zip
Henrie.zip
Jeames.zip

 

Síntomas

Cuando se ejecuta el fichero EXE incluido en el ZIP, el troyano se copia en el directorio de sistema de Windows como ANTI_TROJ.EXE, por ejemplo :

  • C:\WINNT\SYSTEM32\ANTI_TROJ.EXE

 

Añade la siguiente clave de registro para interceptar el inicio del sistema:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run "anti_troj" = C:\WINNT\SYSTEM32\ANTI_TROJ.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run "anti_troj" = C:\WINNT\SYSTEM32\ANTI_TROJ.EXE

 

El troyano intenta contactar con diversos websites e intenta descargar un fichero PHP. Los dominios a los cuales contacta son:

  • 25kadr.org
  • charlies-truckerpage.de
  • template.nease.net
  • s89.tku.edu.tw
  • phrmg.org
  • www.etwas-mode.de
  • www.rewardst.com
  • 757555.ru
  • www.8ingatlan.hu
  • oklens.co.jp
  • www.a2zhostings.com
  • www.abavitis.hu
  • abtechsafety.com
  • acentrum.pl
  • www.adamant-np.ru
  • furdoszoba.info
  • adavenue.net
  • ccooaytomadrid.org
  • abtechsafety.com
  • av2026.comex.ru
  • 80.146.233.41
  • www.barth.serwery.pl
  • www.leap.co.il
  • virt33.kei.pl
  • www.bmswijndepot.com
  • 209.126.128.203
  • www.timecontrol.com.pl
  • adoptionscanada.ca
  • 65.108.195.73
  • tkdami.net
  • www.ubu.pl
  • adventecgroup.com
  • sacafterdark.net
  • agenciaspublicidadinternet.com
  • www.agroturystyka.artneo.pl
  • kepter.kz
  • ahava.cafe24.com
  • mijusungdo.net
  • aibsnlea.org
  • aikidan.com
  • 202.44.52.38
  • drinkwater.ru
  • ala-bg.net
  • allinfo.com.au
  • eleceltek.com
  • alevibirligi.ch
  • alfaclassic.sk
  • allanconi.it
  • www.americarising.com
  • americasenergyco.com
  • amerykaameryka.com
  • amistra.com
  • analisisyconsultoria.com
  • calamarco.com


Un síntoma habitual de la infección es la no visualización de iconos en el escritorio tras iniciar Windows.


Detección y eliminación

El troyano se controla desde los DAT 4635, y para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA (Reiniciar previamente el equipo en modo seguro).

SATINFO, VIRUSCAN SPAIN SERVICE 24 de Noviembre de 2005

Anterior