Nombre:TR/Bagle.EB
Descubierto:07/11/2005
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:17.858 Bytes
Suma de control MD5:5da48adaa372b9754140812317cd3870
Versión del VDF:6.32.00.152

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: W32.Beagle@mm
   •  Kaspersky: Email-Worm.Win32.Bagle.en
   •  TrendMicro: WORM_BAGLE.BS
   •  Sophos: W32/Bagle-AR
   •  Grisoft: I-Worm/Bagle.IR
   •  VirusBuster: I-Worm.Bagle.EK
   •  Eset: Win32/Bagle.ES
   •  Bitdefender: Win32.Bagle.EK@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Descarga ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\windll2.exe




Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • http://clickhare.com/images/**********
   • http://amerikansk-bulldog.dk/images/**********
   • http://eventpeopleforyou.com/help/**********
   • http://ekshrine.com/images/**********
   • http://www.familia-sanchez.net/images/**********
   • http://www.asymchem.com/images/**********
   • http://www.baku-xeber.com/images/**********
   • http://www.abmedical.pl/images/**********
   • http://www.cellphonemadeinchina.com/images/**********
El fichero está guardado en el disco duro en: %WINDIR%\eml.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– Las direcciones son las siguientes:
   • http://localhost/**********
   • http://localhost/**********
   • http://localhost/**********
El fichero está guardado en el disco duro en: %SYSDIR%\re_file.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"



Añade la siguiente clave al registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
   • "erthegdr"="%SYSDIR%\windll2.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Asunto:
El campo del asunto está vacío.


El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Password:
   • The password is:
   • info
   • texte


Archivo adjunto:
Este fichero no incluye una copia suya, sino otro programa viral.

El nombre del fichero adjunto es uno de los siguientes:
   • text_sms.zip
   • sms_text.zip
   • The_new_prices.zip
   • Info_prices.zip
   • Business_dealing.zip
   • max.zip
   • Health_and_knowledge.zip
   • Business.zip

 Envio de mensajes  Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;
      Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;
      Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;
      Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;
      Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;
      Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;
      Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;
      James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;
      Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;
      Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;
      Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;
      Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;
      Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;
      Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;
      Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;
      Wynefreed; Wynnefreede



Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;
      anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;
      noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;
      listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;
      google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;
      noreply; local; root@; postmaster@


Servidor MX:
No emplea el servidor MX implícito.
Puede conectarse al servidor MX:
   • smtp.mail.ru

 Finalización de los procesos Intenta finalizar los siguientes procesos y eliminar los ficheros correspondientes:
   • 1t1epad.exe
   • t1es1t.exe


 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\windll2.exe en el puerto TCP 80 para funcionar como servidor proxy.

 Informaciones diversas Crea los siguientes objetos mutex:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el lunes 29 de mayo de 2006
Descripción actualizada por Irina Boldea el lunes 29 de mayo de 2006

Volver . . . .