Nombre |
W32/Bagle.B |
Tipo |
Gusano de Internet |
Alias |
Bagle.B, Win32/Bagle.B, WORM_BAGLE.B, I-Worm.Bagle.b,
W32.Beagle.B@mm, WORM_BAGLE.B, W32/Tanx.A, W32/Tanx-A, W32/Yourid.A, W32.Alua@mm,
W32.Aula@mm, W32/Tanx.A-mm, W32/Yourid.A.worm, Win32.HLLM.Strato.16896 |
Plataforma |
Windows 32-bit |
Tamaño |
11,264 bytes (UPX) |
Puertos |
TCP/8866 |
Fecha |
17/feb/04 |
Información extraída de
VSANTIVIRUS.COM |
Gusano escrito en Microsoft Visual C++ y comprimido con la herramienta UPX,
residente en memoria, que se propaga a través del correo electrónico.
Al ejecutarse, el virus lanza sndrec32.exe (Sound Recorder de Windows)
Luego, empieza a buscar direcciones de correo en ficheros con las siguientes
extensiones:
wab txt htm html
Después intenta enviarse a todas las direcciones encontradas, en el formato
descrito anteriormente.
Envía un mensaje de notificación a una lista de sitios web; el mensaje contiene
informaciones acerca del ordenador infectado. Estos datos podrían ser utilizados
para cargar otros ficheros infectados en los ordenadores infectados.
El gusano inicia un subproceso que escucha conexiones desde un ordenador remoto.
Esta conexión está empleada para descargar un fichero y ejecutarlo, pero también
podría ser utilizada como mecanismo de auto-actualización.
De: [Dirección falsa]
Asunto: ID [6 caracteres al azar]... thanks
Texto:
Yours ID [9 caracteres al azar]
- -
Thank
Datos adjuntos: [7 caracteres al azar].exe
El archivo adjunto muestra el icono de los archivos de sonido, y cuando se
ejecuta, el gusano abre la grabadora de sonidos de Windows (SNDREC32.EXE), para
intentar ocultar su actividad.
Mientras tanto, examina si la fecha actual es 25 de febrero de 2004 o superior.
Si lo es, finaliza su acción. En caso contrario, se copia en la siguiente
ubicación:
c:\windows\system\au.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo
instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32"
en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server
2003).
Crea las siguientes entradas en el registro, para autoejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
au.exe = c:\windows\system\au.exe
HKU\[ID]\Software\Microsoft\Windows\CurrentVersion\Run
au.exe = c:\windows\system\au.exe
Crea también las siguientes entradas en el registro, para almacenar valores
de su configuración actual:
HKU\[ID]\Software\Windows2000
frn = 1
gid = [8 dígitos]
HKCU\Software\Windows2000
frn = 1
gid = [8 dígitos]
En todos los casos, [ID] representa una cadena identificadora que es
diferente en cada equipo (también puede ser ".DEFAULT").
Para propagarse, obtiene direcciones de correo de archivos con las siguientes
extensiones:
.htm
.html
.txt
.wab
Ignora direcciones de correo que contengan las siguientes cadenas:
@hotmail.com
@msn.com
@microsoft
@avp
Cómo dijimos antes, el gusano se oculta, haciéndose pasar por la grabadora de
Windows (SNDREC32.EXE).
También intenta acceder a varios sitios de Internet, para notificar al autor vía
HTTP, con una solicitud GET a un script PHP. El paquete enviado a las siguientes
direcciones, contiene el número de puerto actual y una identificación:
intern.games-ring.de
www.47df.de
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
www.strato.de
www.strato.de/1.php
www.strato.de/2.php
Posee algunas características de troyano de acceso remoto y para ello abre el
puerto TCP/8866, quedando a la espera de comandos.
El gusano no se ejecuta después del 25 de febrero de 2004. Si un archivo del
gusano es ejecutado después de esa fecha, crea un archivo BAT con el que intenta
borrase a si mismo y al propio BAT.
|
Desinfección manual |
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows,
localice y borre los siguientes archivos:
c:\windows\system\au.exe
Pinche con el
botón derecho sobre el icono de la "Papelera de reciclaje" en el
escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no
estar presentes ya que ello depende de que versión de Windows se tenga
instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y
pulse ENTER
2. En el editor del registro, seleccione el menú desplegable
"Edición", "Buscar", y escriba en la ventana "Buscar" que será
desplegada lo siguiente:
au.exe
3. Pinche en el botón "Buscar siguiente" y borre
todas las entradas que aparezca "au.exe". Por ejemplo:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
HKEY_USERS
\[ID]
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
En ambos casos, borre la entrada:
au.exe = c:\windows\system\au.exe
Nota: [ID] representa un identificador diferente
para cada equipo.
4. En el editor del registro, seleccione el menú desplegable
"Edición", "Buscar", y escriba en la ventana "Buscar" que será
desplegada lo siguiente:
frn
5. Pinche en el botón "Buscar siguiente" y borre
todas las entradas que aparezcan "frn" y "gid" juntas. Por ejemplo, si
aparecen entradas como éstas:
HKU\[ID]\Software\Windows98
frn = 1
gid = [8 dígitos]
HKCU\Software\Windows98
frn = 1
gid = [8 dígitos]
Borre las
entradas "gid" y "frn".
6. Use "Registro", "Salir" para salir del editor y confirmar los
cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
|
|
|
|
|