Virus

Virus BAGLE AT: desactiva el centro de seguridad de Windows XP

Photo of Equipo-Noticias Equipo-Noticias Send an email 11 noviembre 2004
4 minutos de lectura

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección.

Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.

Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
En esta variante de Bagle los ficheros que debe borrar son:

wingo.exe
wingo.exeopen
wingo.exeopenopen
en la carpeta de sistema de Windows (por defecto C:WINDOWSSystem32 en WindowsXP)
Si no se pueden borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña Procesos haga clic derecho en el proceso y seleccione Terminar Proceso. A continuación vuelva a intentar el borrado o reparación del fichero.
o bien:

Reinicie Windows en modo seguro, Para ello presione F8 repetidamente durante el arranque del PC hasta que aparezca el menú de inicio de Windows, donde hay que elejir la opción “Modo Seguro” o “Modo a prueba de fallos”, según la versión de Windows.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus.

extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado:

Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Valor: wingo = “%System%wingo.exe”

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Instalación y Técnica de Autoarranque

Cuando Worm.W32/Bagle.AT@P2P+MM es ejecutado, deposita las siguientes copias de sí mismo en el directorio de Sistema de Windows:
WINGO.EXE
WINGO.EXEOPEN
WINGO.EXEOPENOPEN
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Valor: wingo = “%System%wingo.exe”

Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WINNTSystem32 (Windows 2000/NT) y C:WindowsSystem32 (Windows XP).

Propagación por la red de intercambio de ficheros (P2P)

El gusano busca en las unidades del equipo infectado aquellos directorios cuyo nombre contenga la cadena shared. Estos son utilizados por ejemplo Bearshare, KaZaA, Limewire, Morpheus, etc.

A continuación deja copias de sí mismo en esos directorios, utilizando alguno de los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Propagación por correo electrónico

Bagle.AT utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para propagarse, lo que le hace independiente del cliente de correo que se tenga.
Busca direcciones en ficheros ubicados en el sistema que tengan alguna de las siguientes extensiones:
ADB
ASP
CFG
CGI
DBX
DHTM
EML
HTM
JSP
MBX
MDX
MHT
MMF
MSG
NCH
ODS
OFT
PHP
PL
SHT
SHTM
STM
TBB
TXT
UIN
WAB
WSH
XLS
XML
Evita enviar el mensaje a direcciones que contengan cualquiera de las siguientes cadenas:
avp.
hotmail
iana
messagelab
microsoft
buse
dmin
nyone@
ugs@
afee
ertific
ontract@
este
ree-av
-secur
old-certs@
oogle
elp@
crosoft
nfo@
inux
istserv
ocal
obody@
oone@
oreply
tivi
anda
ostmaster@
ating@
oot@
amples
opho
upport
pdate
inrar
inzip
A continuación consulta los registros MX del dominio de las direcciones electrónicas capturadas para determinar el servidor SMTP a utilizar.

El correo electrónico podría tener las siguientes características:

Remitente: – falsificado –

Asunto: alguno de los siguientes:
Re Hello
Re Hi
Re Thank you!
Re Thanks 🙂
Cuerpo del mensaje: Uno de los siguientes:
:))
🙂

Fichero Anexo: alguno de los siguientes:
PRICE.CPL
PRICE.COM
PRICE.EXE
PRICE.SCR
JOKE.CPL
JOKE.COM
JOKE.EXE
Finalización de Procesos

El gusano finaliza la ejecución de los siguiente programas antivirus y de seguridad informática:
ALOGSERV.EXE
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVENGINE.EXE
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
BAWINDO.EXE (nombre utilizado po Bagle.AR.)
BLACKD.EXE
CCAPP.EXE
CCEVTMGR.EXE
CCPROXY.EXE
CCPXYSVC.EXE
CFIAUDIT.EXE
DEFWATCH.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FRAMEWORKSERVICE.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCAGENT.EXE
MCSHIELD.EXE
MCUPDATE.EXE
MCVSESCN.EXE
MCVSRTE.EXE
MCVSSHLD.EXE
NAVAPSVC.EXE
NAVAPSVC.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NISUM.EXE
NOPDB.EXE
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PAVFIRES.EXE
PAVPROXY.EXE
PAVSRV50.EXE
RTVSCAN.EXE
RULAUNCH.EXE
SAVSCAN.EXE
SHSTAT.EXE
SNDSRVC.EXE
SYMLCSVC.EXE
UPDATE.EXE
UPDATERUI.EXE
VSHWIN32.EXE
VSSTAT.EXE
VSTSKMGR.EXE
Efectos

Bagle.AT intenta descargar un fichero llamado g.jpg de los siguientes sitios web:
http://www.24-7-transportation.com
http://www.adhdtests.com
http://www.aegee.org
http://www.aimcenter.net
http://www.alupass.lu
http://www.amanit.ru
http://www.andara.com
http://www.angelartsanctuary.com
http://www.anthonyflanagan.com
http://www.approved1stmortgage.com
http://www.argontech.net
http://www.asianfestival.nl
http://www.atlantisteste.hpg.com.br
http://www.aviation-center.de
http://www.bbsh.org
http://www.bga-gsm.ru
http://www.boneheadmusic.com
http://www.bottombouncer.com
http://www.bradster.com
http://www.buddyboymusic.com
http://www.bueroservice-it.de
http://www.calderwoodinn.com
http://www.capri-frames.de
http://www.celula.com.mx
http://www.ceskyhosting.cz
http://www.chinasenfa.com
http://www.cntv.info
http://www.compsolutionstore.com
http://www.coolfreepages.com
http://www.corpsite.com
http://www.couponcapital.net
http://www.cpc.adv.br
http://www.crystalrose.ca
http://www.cscliberec.cz
http://www.curtmarsh.com
http://www.customloyal.com
http://www.DarrkSydebaby.com
http://www.deadrobot.com
http://www.dontbeaweekendparent.com
http://www.dragcar.com
http://www.ecofotos.com.br
http://www.elenalazar.com
http://www.ellarouge.com.au
http://www.esperanzaparalafamilia.com
http://www.eurostavba.sk
http://www.everett.wednet.edu
http://www.fcpages.com
http://www.featech.com
http://www.fepese.ufsc.br
http://www.firstnightoceancounty.org
http://www.flashcorp.com
http://www.fleigutaetscher.ch
http://www.fludir.is
http://www.freeservers.com
http://www.FritoPie.NET
http://www.gamp.pl
http://www.gci-bln.de
http://www.gcnet.ru
http://www.generationnow.net
http://www.gfn.org
http://www.giantrevenue.com
http://www.glass.la
http://www.handsforhealth.com
http://www.hartacorporation.com
http://www.himpsi.org
http://www.idb-group.net
http://www.immonaut.sk
http://www.ims-i.com
http://www.innnewport.com
http://www.irakli.org
http://www.irinaswelt.de
http://www.jansenboiler.com
http://www.jasnet.pl
http://www.jhaforpresident.7p.com
http://www.jimvann.com
http://www.jldr.ca
http://www.justrepublicans.com
http://www.kencorbett.com
http://www.knicks.nl
http://www.kps4parents.com
http://www.kps4parents.com
http://www.kradtraining.de
http://www.kranenberg.de
http://www.kranenberg.de
http://www.lasermach.com
http://www.leonhendrix.com
http://www.magicbottle.com.tw
http://www.mass-i.kiev.ua
http://www.mepbisu.de
http://www.mepmh.de
http://www.metal.pl
http://www.mexis.com
http://www.mongolische-renner.de
http://www.mtfdesign.com
http://www.oboe-online.com
http://www.ohiolimo.com
http://www.onepositiveplace.org
http://www.oohlala-kirkland.com
http://www.orari.net
http://www.pankration.com
http://www.pe-sh.com
http://www.pfadfinder-leobersdorf.com
http://www.pipni.cz
http://www.polizeimotorrad.de
http://www.programmierung2000.de
http://www.pyrlandia-boogie.pl
http://www.raecoinc.com
http://www.realgps.com
http://www.redlightpictures.com
http://www.reliance-yachts.com
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.rieraquadros.com.br
http://www.scanex-medical.fi
http://www.sea.bz.it
http://www.selu.edu
http://www.sigi.lu
http://www.sljinc.com
http://www.sljinc.com
http://www.smacgreetings.com
http://www.soloconsulting.com
http://www.spadochron.pl
http://www.srg-neuburg.de
http://www.ssmifc.ca
http://www.sugardas.lt
http://www.sunassetholdings.com
http://www.szantomierz.art.pl
http://www.the-fabulous-lions.de
http://www.tivogoddess.com
http://www.tkd2xcell.com
http://www.topko.sk
http://www.transportation.gov.bh
http://www.travelchronic.de
http://www.traverse.com
http://www.uhcc.com
http://www.ulpiano.org
http://www.uslungiarue.it
http://www.vandermost.de
http://www.vbw.info
http://www.velezcourtesymanagement.com
http://www.velocityprint.com
http://www.vikingpc.pl
http://www.vinirforge.com
http://www.wecompete.com
http://www.worest.com.ar
http://www.woundedshepherds.com
http://www.wwwebad.com
http://www.wwwebmaster.com
Represalia contra Netsky

El gusano elimina varias entradas del registro de Windows asociados con Netsky y sus variantes:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
Támbién crea los siguientes mutex para evitar que Netsky y sus variantes se puedan ejecutar en el equipo infectado:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
DroppedSkyNet
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____—>>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

Nombres de Ficheros Adjuntos (virus que llegan por correo)
JOKE.EXE
JOKE.COM
JOKE.CPL
PRICE.SCR
PRICE.EXE
PRICE.COM
PRICE.CPL

Asunto del mensaje (virus que llegan por correo)
Re Thanks 🙂
Re Thank you!
Re Hi
Re Hello

Fuente: Alerta Antivirus.es

Photo of Equipo-Noticias Equipo-Noticias Send an email 11 noviembre 2004
4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba