 | PandaLabs ha informado acerca de numerosas variantes de este gusano que infecta un sinnúmero de ordenadores alrededor del globo, dejándolos a todos sin defensa, debido a que una de las funciones de los Bagle es desactivar los cortafuegos y antivirus. |
| Nombre completo: Worm.W32/Bagle.GX@MM
Tipo: Gusano de correo electrónico.
Plataforma: [W32] Portable Ejecutable .EXE, .SCR, .DLL de Windows de 32 bits: 95, 98, Me, NT, 2000, XP y 2003.
Tamaño comprimido (bytes): 94126
Alias: WORM_BAGLE.GX por Trend Micro), W32/Bagle.fb!pwdzip por McAfee y W32.Beagle.FG@mm por Symantec. |
En su primera ejecución, crea los siguientes ficheros en el sistema:
hidn.exe (copia de sí mismo) m_hook.sys (componente rootkit) error.gif (elemento sin importancia) temp.zip (copia de sí mismo)
Genera una llave en el registro para reiniciar sus operaciones junto con Windows:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"
Otras entradas son generadas para sostener sus operaciones:
[HKEY_CURRENT_USER\Software\FirstRuxzx] "FirstRun" = "1"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook]
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT
\LEGACY_M_HOOK]
Consigue restar estabilidad al sistema de arranque mediante la eliminación de la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]
Nota: %UserProfile% equivale a C:\Documents and Settings\[nombre de usuario] para Windows 2000/XP/NT.
Consigue finalizar diversos procesos pertenecientes a utilidades antivirus y cortafuegos al mismo tiempo en que su componente rootkit comienza su tarea de ocultación:
wuauserv Aavmker4 ABVPN2K ADBLOCK.DLL ADFirewall AFWMCL
AntiyFirewall ARP.DLL
aswTdi
avast! Antivirus avast! Mail Scanner avast! Web Scanner AVEService AVExch32Service AvFlt Avg7Alrt Avg7Core
AvgCore AvgFsh AVGFwSrv
AVIRAMailService AVIRAService
awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 Bdfndisf bdftdif bdss BlackICE BsFileSpy
ccSetMgr ccSetMgr.exe CONTENT.DLL
ewido security suite control ewido security suite driver ewido security suite guard F-Prot Antivirus Update Monitor F-Secure Gatekeeper Handler Starter firewall
FSFW FSMA FTPFILT.DLL DLL HTTPFILT.DLL
KAVMonitorService KAVSvc
McAfeeFramework McShield McTaskManager mcupdmgr.exe
NDIS_RD Network Associates Log Service nipsvc
Norman Type-R Norman ZANDA Norton AntiVirus Server nvcoas
Personal Firewall POP3FILT.DLL PREVSRV
ravmon8
SECRET.DLL SharedAccess
SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC
tmtdi tm_cfw
Vba32ECM Vba32ifs
VisNetic AntiVirus Plug-in vrfwsvc vsmon
xcomm
Con su motor Simple Mail Transfer Protocol, se reenvía a todas las direcciones de e-mail que encuentre en archivos con las extensiones:
wab txt msg htm shtm stm xml dbx mbx mdx
cfg asp php pl wsh adb tbb sht
jsp
Evita reenviarse a direcciones con las siguientes cadenas:
rating@ f-secur news
feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft
sopho
winzip
abuse panda cafee spam pgp
Mediante el puerto TCP25, el Bagle.GX buscará establecer conexión con servidores SMTP para enviar los mensajes, por ejemplo:
smtp.google.com
Más Información:
|
Noticias 
