Nombre: Bagle.HE Nombre NOD32: Win32/Bagle.HE Tipo: Gusano de Internet y caballo de Troya Alias: Bagle.HE, DeepScan:Generic.Mitglied.9C1ED060, Email-Worm.Win32.Bagle.gt, I-Worm.Bagle.gt, I-Worm.Bagle.LC, I-Worm/Bagle, MalwareScope.Trojan-PSW.LdPinch.1, TR/Bagle.GD, W32.Bagle.FY, W32/Bagle.gen, W32/Bagle.GT@mm, W32/Bagle.KT.worm, W32/Bagle-QW, W32/Malware.EKN, W32/Mitglieder.UZ, Win32.Bagle.gt, Win32.HLLM.Beagle, Win32/Bagle.EM, Win32/Bagle.EM!Worm, Win32/Bagle.gen, Win32/Bagle.HE, Win32:Beagle-NK, Worm.Bagle Fecha: 12/dic/06 Plataforma: Windows 32-bit Tamaño: 40,565 bytes (CPACK)
usano que se propaga por correo
electrónico. Consta de al menos tres componentes diferentes: dos
"downloader" y un "mass-mailer".
El primero es un "downloader", un troyano que
probablemente es enviado en forma de spam, y que descarga otro de
los componentes del gusano.
Cuando el downloader se ejecuta, descarga un archivo de una
dirección predeterminada de Internet, y lo almacena en la carpeta
del sistema con un nombre al azar, para luego ejecutarlo:
c:\windows\system32\[nombre].exe
Este archivo es el componente que se
encarga del envío masivo de mensajes desde la máquina infectada
(mass-mailer).
Los mensajes enviados, tendrán como "Asunto:", uno de los
siguientes:
new ??-???-????
price??-???-????
price_ ??-???-????
price_new ??-???-????
El nombre del archivo adjunto (un archivo .ZIP con contraseña), será uno de los siguientes:
new_price??-???-????.zip
price_list??-???-????.zip
latest_price??-???-????.zip
Donde ??-???-???? es la fecha de envío del mensaje en el siguiente formato:
30-Nov-2006
El texto del mensaje será uno de los siguientes:
It Is Protected
Passwrd: [imagen]
thank you !!!
Passwrd: [imagen]
New year's discounts
Passwrd: [imagen]
Donde [imagen] es una imagen con la
contraseña de 6 dígitos que deberá ser ingresada para abrir el
.ZIP.
Cuando el adjunto es abierto por el usuario, y el .EXE contenido en
el .ZIP ejecutado, se crearán los siguientes archivos en el sistema
infectado:
[Application
Data]\hidn\hidn2.exe
[Application Data]\hidn\hldrrr.exe
La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:
C:\Documents and
Settings\[Usuario]
\Configuración local\Application Data
C:\WINDOWS\Application Data
Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[Application Data]\hidn\hidn2.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[Application Data]\hidn\hidn2.exe"
También puede crear o modificar las siguientes entradas:
HKCU\Software\FirstRun
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "4"
El gusano puede descargar otras
versiones de si mismo desde una lista predeterminada de direcciones
de Internet.
También borra múltiples entradas del registro, relacionadas con
otros gusanos, e intenta desactivar la ejecución de algunos
servicios relacionados con programas de seguridad.
Las máquinas infectadas, pueden ser utilizadas como proxys, para el
envío de nuevas versiones del gusano en forma de spam.
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
Tengo este virus dentro de mi red y efectivamente esta enviando correos a todos los de la red.
Tengo NOD32 instalado y este hace que detecta el virus y lo guarda en una carpeta de archivos eliminados.
¿Que puedo hacer para eliminarlo definitivamente de la red y que deje de enviar correos a los usuarios.?
Luego de 8 dias de lucha logre limpiar la pc del infernal virus beagle, los dramas comenzaron cuando baje por P2P un programita con intension de depurar direcciones de email erroneas o que son rechazadas, al activarlo provoco que el NOD 32 se desactive, y todos los programas relativos a la seguridad informatica no funcionen por ejemplo el pcleaner, desesperado intente instalar otro antivirus e inmediatamente se autodesistalaba o me decia que no era una aplicacion valida win32, intente ingresar a modo prueba de fallos y se la pc se autoreiniciaba. Investigue en internet porque me indicaba que no era una aplicacion valida win32 y alli me entere que era el virus BEAGLE, y que habia que instalar ELIBAGLA, que era un antivirus especifico, que se activaba manualmente pero no era residual.-
al detectarlo me indica que se habia creado una carpeta /m dentro de mi pc tras desbloquear sus archivos que no eran removibles, pude eliminar la misma y todos sus archivos.-
El problema seguia al intentar instalar cualquier antivirus , todos los que podemos conocer quienes nos movemos en internet, y siempre saltaba que no era una aplicacion win32, en consecuencia comprendi que el problema seguia.
Segui investigando en internet y alguien menciono un programita que se llama gmer.exe, y detecte que aun seguia infectada, dentro de Windows/system32/denominado "srosa.exe", no lo podia eliminar porque me indicaba que estaba activado, en consecuencia el programa me permitio desabilitarlo, y luego me indicaba que debia reiniciar mi pc, cosa que hice e inmediatamente intente instalar nod32. O sorpresa por fin pude instalarlo y actualizarlo con los virus actuales, cuando scanee nuevamente la pc, dentro de los Draivers de Windows encontro aproximadamente 20 variantes del beagle, identificado con distintos numeros seguidos del .exe los elimine, pase luego todos los malware posibles, hasta que siempre me dio que no tenia nada.
Estoy mas tranquilo sin formatear logre eliminar esta pesadilla espero que a otros les sirva o entienda mi explicacion.