¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Bagle.O.2
Descubierto:13/12/2012
Tipo:Dropper
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:11.689 Bytes
Suma de control MD5:1af3a1c3261aab9b61b17e1d94c504db
Versión del VDF:7.11.53.216

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Bitdefender: Win32.Bagle.CJ@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\winshost.exe



Renombra los siguientes ficheros:

    •  CCSETMGR.EXE en C1CSETMGR.EXE
    •  CCEVTMGR.EXE en CC1EVTMGR.EXE
    •  NAVAPSVC.EXE en NAV1APSVC.EXE
    •  NPFMNTOR.EXE en NPFM1NTOR.EXE
    •  symlcsvc.exe en s1ymlcsvc.exe
    •  SPBBCSvc.exe en SP1BBCSvc.exe
    •  SNDSrvc.exe en SND1Srvc.exe
    •  ccApp.exe en ccA1pp.exe
    •  ccl30.dll en cc1l30.dll
    •  ccvrtrst.dll en ccv1rtrst.dll
    •  LUALL.EXE en LUAL1L.EXE
    •  AUPDATE.EXE en AUPD1ATE.EXE
    •  Luupdate.exe en Luup1date.exe
    •  LUINSDLL.DLL en LUI1NSDLL.DLL
    •  RuLaunch.exe en RuLa1unch.exe
    •  CMGrdian.exe en CM1Grdian.exe
    •  Mcshield.exe en Mcsh1ield.exe
    •  outpost.exe en outp1ost.exe
    •  Avconsol.exe en Avc1onsol.exe
    •  Vshwin32.exe en Vshw1in32.exe
    •  VsStat.exe en Vs1Stat.exe
    •  Avsynmgr.exe en Av1synmgr.exe
    •  kavmm.exe en kav12mm.exe
    •  Up2Date.exe en Up222Date.exe
    •  KAV.exe en K2A2V.exe
    •  avgcc.exe en avgc3c.exe
    •  avgemc.exe en avg23emc.exe
    •  zonealarm.exe en zo3nealarm.exe
    •  zatutor.exe en zatu6tor.exe
    •  zlavscan.dll en zl5avscan.dll
    •  zlclient.exe en zlcli6ent.exe
    •  isafe.exe en is5a6fe.exe
    •  cafix.exe en c6a5fix.exe
    •  vsvault.dll en vs6va5ult.dll
    •  av.dll en a5v.dll
    •  vetredir.dll en ve6tre5dir.dll



Crea el siguiente fichero:

%SYSDIR%\wiwshost.exe Los análisis adicionales indicaron que este fichero es también viral.



Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.cn/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.nl/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com.pl/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.com.tw/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com.tw/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.cl/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.ch/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com.pe/osa5.gif
   • www.**********.ee/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.ch/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.nl/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.org/osa5.gif
   • www.**********.home.pl/osa5.gif
   • www.**********.at/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com.hk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.dehtdocs/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com.cn/osa5.gif
   • www.**********.de/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com.pt/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.sk/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.hu/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.net/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.cz/osa5.gif
   • www.**********.be/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.com/osa5.gif
   • www.**********.co.za/osa5.gif
   • www.**********.sk/osa5.gif
El fichero está guardado en el disco duro en: %WINDIR%\_RE_FILE.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Bagle.BR.A.Dll

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "winshost.exe"="%SYSDIR%\winshost.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "winshost.exe"="%SYSDIR%\winshost.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • McAfee Guardian
   • NAV CfgWiz
   • SSC_UserPrompt
   • Symantec NetDriver Monitor
   • Zone Labs Client

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • McAfee.InstantUpdate.Monitor

–  HKLM\SOFTWARE
   • Symantec
   • McAfee
   • KasperskyLab
   • Agnitum
   • Panda Software
   • Zone Labs



Añade la siguiente clave al registro:

– HKCU\Software\FirstRun
   • "FirstRunRR"=dword:00000001

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

 Finalización de los procesos Listado de los procesos finalizados:
   • ATUPDATER.EXE; AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AVPUPD.EXE;
      AVWUPD32.EXE; AVXQUAR.EXE; CFIAUDIT.EXE; ESCANHNT.EXE; ICSSUPPNT.EXE;
      LUALL.EXE; MCUPDATE.EXE; OUTPOST.EXE; ATUPDATER.EXE; AUTOUPDATE.EXE;
      DRWEBUPW.EXE; ESCANH95.EXE; FIREWALL.EXE; ICSUPP95.EXE; NUPGRADE.EXE;
      UPDATE.EXE; UPGRADER.EXE


Listado de los servicios desactivados:
   •  Ahnlab task Scheduler; alerter; AntiVirus Plug-in; McShield;
      AlertManger; AVExch32Service; avg7alrt; avg7updsvc; AvgCore; AvgFsh;
      AvgServ; avpcc; AVUPDService; AvxIni; awhost32; backweb client -
      4476822; BackWeb Client - 7681197; backweb client-4476822; BlackICE;
      CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; DefWatch; dvpapi;
      dvpinit; Firewall; fsbwsys; fsdfwd; F-Secure Gatekeeper Handler
      Starter; FSMA; KAVMonitorService; kavsvc; KLBLMain; McAfee;
      McAfeeFramework; McTaskManager; mcupdmgr.exe; MCVSRte; MonSvcNT;
      navapsvc; Network Associates Log Service; NISSERV; NISUM; NJeeves;
      NOD32ControlCenter; NOD32Service; Norman; Norton Antivirus Server;
      NPFMntor; NProtectService; NSCTOP; nvcoas; NVCScheduler; nwclntc;
      nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; NWService; Outbreak
      Manager; Outpost; OutpostFirewall; PASSRV; PAVFNSVR; Pavkre; PavProt;
      PavPrSrv; PAVSRV; PCCPFW; PersFW; PREVSRV; PSIMSVC; ravmon8; SAVFMSE;
      SAVScan; SBService; schscnt; SharedAccess; SmcService; SNDSrvc;
      SPBBCSvc; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client; Symantec
      Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic; vsmon;
      wuauserv; XCOMM; ZANDA

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\wiwshost.exe

    Nombre del proceso:
   • %WINDIR%\Explorer.exe


Descripción insertada por Irina Boldea el viernes, 9 de septiembre de 2005
Descripción actualizada por Irina Boldea el jueves, 22 de septiembre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.