¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Bagle.GD
Descubierto:12/12/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:40.961 Bytes
Suma de control MD5:6acfafce6ed1cf956cec6ab1e5265d0E
Versin del IVDF:6.37.00.07 - martes 12 de diciembre de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: W32/Bagle.gen
   •  Kaspersky: Email-Worm.Win32.Bagle.gt
   •  F-Secure: Email-Worm.Win32.Bagle.gt
   •  Grisoft: I-Worm/Bagle


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Descarga ficheros dainos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente despus de ejecutarse, inicia una aplicacin de Windows que muestra la siguiente ventana:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %APPDATA%\hidn\hldrrr.exe
   • %APPDATA%\hidn\hidn.exe



Se copia a s mismo en un archivo en la siguiente ubicacin:
   • c:\temp.zip



Crea el siguiente fichero:

c:\error.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Text decoding error.




Intenta descargar algunos ficheros:

Las direcciones son las siguientes:
   • http://ceramax.co.kr/**********
   • http://prime.gushi.org/**********
   • http://www.chapisteriadaniel.com/**********
   • http://charlesspaans.com/**********
   • http://chatsk.wz.cz/**********
   • http://www.chittychat.com/**********
   • http://checkalertusa.com/**********
   • http://cibernegocios.com.ar/**********
   • http://5050clothing.com/**********
   • http://cof666.shockonline.net/**********
   • http://comaxtechnologies.net/**********
   • http://concellodesandias.com/**********
   • http://www.cort.ru/**********
   • http://donchef.com/**********
   • http://www.crfj.com/**********
   • http://kremz.ru/**********
   • http://dev.jintek.com/**********
   • http://foxvcoin.com/**********
   • http://uwua132.org/**********
   • http://v-v-kopretiny.ic.cz/**********
   • http://erich-kaestner-schule-donaueschingen.de/**********
   • http://vanvakfi.com/**********
   • http://axelero.hu/**********
   • http://kisalfold.com/**********
   • http://vega-sps.com/**********
   • http://vidus.ru/**********
   • http://viralstrategies.com/**********
   • http://svatba.viskot.cz/**********
   • http://Vivamodelhobby.com/**********
   • http://vkinfotech.com/**********
   • http://vytukas.com/**********
   • http://waisenhaus-kenya.ch/**********
   • http://watsrisuphan.org/**********
   • http://www.ag.ohio-state.edu/**********
   • http://wbecanada.com/**********
   • http://calamarco.com/**********
   • http://vproinc.com/**********
   • http://grupdogus.de/**********
   • http://knickimbit.de/**********
   • http://dogoodesign.ch/**********
   • http://systemforex.de/**********
   • http://zebrachina.net/**********
   • http://www.walsch.de/**********
   • http://hotchillishop.de/**********
   • http://innovation.ojom.net/**********
   • http://massgroup.de/**********
   • http://web-comp.hu/**********
   • http://webfull.com/**********
   • http://welvo.com/**********
   • http://www.ag.ohio-state.edu/**********
   • http://poliklinika-vajnorska.sk/**********
   • http://wvpilots.org/**********
   • http://www.kersten.de/**********
   • http://www.kljbwadersloh.de/**********
   • http://www.voov.de/**********
   • http://www.wchat.cz/**********
   • http://www.wg-aufbau-bautzen.de/**********
   • http://www.wzhuate.com/**********
   • http://zsnabreznaknm.sk/**********
   • http://xotravel.ru/**********
   • http://ilikesimple.com/**********
   • http://yeniguntugla.com/**********
El fichero est guardado en el disco duro en: %SYSDIR%\re_file.exe Adems, este fichero es ejecutado despus de haber sido descargago. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Bagle.Gen.B


Las direcciones son las siguientes:
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********
El fichero est guardado en el disco duro en: %WINDIR%\elist.xpt

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • drv_st_key = %APPDATA%\hidn\hidn2.exe



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Aade la siguiente clave al registro:

[HKCU\Software\FirstRun]
   • FirstRun = 1



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows:
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • Start = %configuracin definida por el usuario%
   Nuevo valor:
   • Start = 4

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.
Direcciones recolectadas del Internet. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o ni siquiera est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
– Direcciones recolectadas del Internet.


Asunto:
Uno de los siguientes:
   • pric %fecha actual%
   • price_ %fecha actual%
   • price_%fecha actual%
   • price-%fecha actual%
   • price %fecha actual%



El cuerpo del mensaje:
–  El cuerpo del mensaje de correo est vaco.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • price%fecha actual%.zip
   • new_price%fecha actual%.zip
   • latest_price%fecha actual%.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp


Direcciones de correo recolectadas:
Recolecta direcciones de correo al contactar los siguientes sitios web:
   • http://www.titanmotors.com/images/1/**********
   • http://veranmaisala.com/1/**********
   • http://wklight.nazwa.pl/1/**********
   • http://yongsan24.co.kr/1/**********
   • http://accesible.cl/1/**********
   • http://hotelesalba.com/1/**********
   • http://amdlady.com/1/**********
   • http://inca.dnetsolution.net/1/**********
   • http://www.auraura.com/1/**********
   • http://avataresgratis.com/1/**********
   • http://beyoglu.com.tr/1/**********
   • http://brandshock.com/1/**********
   • http://www.buydigital.co.kr/1/**********
   • http://camaramafra.sc.gov.br/1/**********
   • http://camposequipamentos.com.br/1/**********
   • http://cbradio.sos.pl/1/**********
   • http://c-d-c.com.au/1/**********
   • http://www.klanpl.com/1/**********
   • http://coparefrescos.stantonstreetgroup.com/1/**********
   • http://creainspire.com/1/**********
   • http://desenjoi.com.br/1/**********
   • http://www.inprofile.gr/1/**********
   • http://www.diem.cl/1/**********
   • http://www.discotecapuzzle.com/1/**********


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • rating@; f-secur; news; update; anyone@; bugs@; contract@; feste;
      gold-certs@; help@; info@; nobody@; noone@; kasp; admin; icrosoft;
      support; ntivi; unix; bsd; linux; listserv; certific; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; abuse;
      panda; cafee; spam; pgp; @avp.; noreply; local; root@; postmaster@

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Andrei Gherman el viernes 5 de octubre de 2007
Descripción actualizada por Andrei Gherman el viernes 5 de octubre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.