Nombre: Bagle.HE Nombre NOD32: Win32/Bagle.HE Tipo: Gusano de Internet y caballo de Troya Alias: Bagle.HE, DeepScan:Generic.Mitglied.9C1ED060, Email-Worm.Win32.Bagle.gt, I-Worm.Bagle.gt, I-Worm.Bagle.LC, I-Worm/Bagle, MalwareScope.Trojan-PSW.LdPinch.1, TR/Bagle.GD, W32.Bagle.FY, W32/Bagle.gen, W32/Bagle.GT@mm, W32/Bagle.KT.worm, W32/Bagle-QW, W32/Malware.EKN, W32/Mitglieder.UZ, Win32.Bagle.gt, Win32.HLLM.Beagle, Win32/Bagle.EM, Win32/Bagle.EM!Worm, Win32/Bagle.gen, Win32/Bagle.HE, Win32:Beagle-NK, Worm.Bagle Fecha: 12/dic/06 Plataforma: Windows 32-bit Tamaño: 40,565 bytes (CPACK)
usano que se propaga por correo
electrónico. Consta de al menos tres componentes diferentes: dos
"downloader" y un "mass-mailer".
El primero es un "downloader", un troyano que
probablemente es enviado en forma de spam, y que descarga otro de
los componentes del gusano.
Cuando el downloader se ejecuta, descarga un archivo de una
dirección predeterminada de Internet, y lo almacena en la carpeta
del sistema con un nombre al azar, para luego ejecutarlo:
c:\windows\system32\[nombre].exe
Este archivo es el componente que se
encarga del envío masivo de mensajes desde la máquina infectada
(mass-mailer).
Los mensajes enviados, tendrán como "Asunto:", uno de los
siguientes:
new ??-???-????
price??-???-????
price_ ??-???-????
price_new ??-???-????
El nombre del archivo adjunto (un archivo .ZIP con contraseña), será uno de los siguientes:
new_price??-???-????.zip
price_list??-???-????.zip
latest_price??-???-????.zip
Donde ??-???-???? es la fecha de envío del mensaje en el siguiente formato:
30-Nov-2006
El texto del mensaje será uno de los siguientes:
It Is Protected
Passwrd: [imagen]
thank you !!!
Passwrd: [imagen]
New year's discounts
Passwrd: [imagen]
Donde [imagen] es una imagen con la
contraseña de 6 dígitos que deberá ser ingresada para abrir el
.ZIP.
Cuando el adjunto es abierto por el usuario, y el .EXE contenido en
el .ZIP ejecutado, se crearán los siguientes archivos en el sistema
infectado:
[Application
Data]\hidn\hidn2.exe
[Application Data]\hidn\hldrrr.exe
La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:
C:\Documents and
Settings\[Usuario]
\Configuración local\Application Data
C:\WINDOWS\Application Data
Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[Application Data]\hidn\hidn2.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[Application Data]\hidn\hidn2.exe"
También puede crear o modificar las siguientes entradas:
HKCU\Software\FirstRun
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "4"
El gusano puede descargar otras
versiones de si mismo desde una lista predeterminada de direcciones
de Internet.
También borra múltiples entradas del registro, relacionadas con
otros gusanos, e intenta desactivar la ejecución de algunos
servicios relacionados con programas de seguridad.
Las máquinas infectadas, pueden ser utilizadas como proxys, para el
envío de nuevas versiones del gusano en forma de spam.
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
Tengo este virus dentro de mi red y efectivamente esta enviando correos a todos los de la red.
Tengo NOD32 instalado y este hace que detecta el virus y lo guarda en una carpeta de archivos eliminados.
¿Que puedo hacer para eliminarlo definitivamente de la red y que deje de enviar correos a los usuarios.?