NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de w32/Bagle, con componente rootkit, que borra antivirus e impide iniciar Windows en modo seguro.


Nombre de virus: W32/Bagle.fh
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero 
Detección: próxima versión  
Motor necesario: desde 5100
Infección actual: Inicial (Inicial, Media, Elevada)

Se ha detectado el envío masivo (vía spam) de una nueva variante de w32/Bagle. Este gusano y troyano de Internet incorpora un componente rootkit a fin de dificultar su presencia en sistemas infectados, a la vez que desactiva la protección antivirus y la de diversos procesos de aplicaciones de seguridad, principalmente firewalls de software.


 Síntomas de infección

La ejecución del gusano genera el siguiente fichero :

c:\windows\%system%\hldrrr.exe

Asimismo crea la carpeta EXEFLD si no existe, y el siguiente fichero:

c:\windows\exefld\=083.exe

NOTA: %System% se refiere a  "c:\windows\system32" en sistemas Windows XP y Windows 2003 Server. En sistemas Windows NT y Windows 2000 la ruta es "c:\winnt\system32", y en el caso de Windows 9x y ME "c:\windows\system").

Genera las siguientes entradas en el registro de sistema, a fin de ejecutarse en cada inicio

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
hldrrr = "c:\windows\system32\hldrrr.exe"

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
hldrrr = "c:\windows\system32\hldrrr.exe"

Intenta detener todos los procesos activos que estén vinculados a aplicaciones antivirus y cortafuegos. Es por ello que un síntoma de infección es la desaparición del icono de antivirus en la barra de inicio. En nuestras pruebas de laboratorio se ha observado que el troyano no sólo desactiva el proceso de antivirus, sino que también elimina sus ficheros, por lo que tras una limpieza será necesario reinstalar el programa antivirus.

El componente troyano instalado en el sistema también intenta contactar con diversos servidores en Internet, para enviar información  sobre el equipo infectado y descarga nuevos archivos maliciosos para su posterior ejecución.

Para dificultar su detección y proceso de limpieza, este malware genera un componente rootkit que oculta su presencia, y desactiva la posibilidad de reiniciar el sistema en 'modo seguro'.

Detección y eliminación

Actualmente se controla con los DAT diarios.  Para su eliminación se recomienda descargar y ejecutar nuestra utilidad ELIBAGLA.

 

 

 

SATINFO, VIRUSCAN SPAIN SERVICE   04 de Enero de 2007

Anterior