NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Propagación via spam de nuevas variantes de virus w32/Bagle

Estos primeros días del mes de Noviembre se están propagando masivamente via spam nuevas variantes de virus w32/Bagle (se trata de un troyano downloader)



Nombre de virus: w32/Bagle.dk , w32/Bagle.dl, w32/Bagle.dm, w32/Bagle.dn
Alias conocidos: -
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Mediante Spam masivo
Activación: Por ejecución de fichero EXE dentro del zip adjunto al mensaje
Detección: desde DATS 4618
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

El ZIP que viene adjunto al mensaje, suele ser uno de los siguientes :

  • The_new_prices.zip
  • Info_Prices.zip
  • Health_and_knowledge.zip
  • sms_text.zip
  • max.zip
  • Business.zip
  • Business_dealing.zip

 

y contiene un fichero de nombre loader.exe, t_535475.exe, text.exe, ó TEXT5546.exe .

Al ejecutar uno de estos ficheros, el troyano se copia en el directorio de sistema de Windows, como HLOADER_EXE.EXE, por ejemplo: C:\WINNT\SYSTEM32\HLOADER_EXE.EXE , y también crea un fichero DLL en este directorio para realizar sus funciones:

  • HLEADER_DLL.DLL (el tamaño puede ser 5632 bytes, 8192 bytes, 5693 bytes ó 5613 bytes, en función de la variante de Bagle detectada)

Añade las siguientes claves de registro para interceptar el inicio de sistema:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run "auto__hloader__key" = C:\WINNT\SYSTEM32\HLOADER_EXE.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run "auto__hloader__key" = C:\WINNT\SYSTEM32\HLOADER_EXE.EXE

Tras reiniciar el equipo, el troyano inyecta el fichero HLEADER_DLL.DLL dentro del proceso de explorer.exe. Este DLL contiene una lista de websites para buscar actualizaciones.Los dominios a los cuales contacta son

  • www.aro-tec.com
  • sarancha.ru
  • home.1000km.ru
  • www.stanislawkowalczyk.netstrefa.com
  • 1st-new-orleans-hotels.com
  • www.OTT-INSIDE.de
  • lifejacks.de
  • 25kadr.org
  • africa-tours.de
  • wunderlampe.com
  • charlies-truckerpage.de
  • template.nease.net
  • s89.tku.edu.tw
  • phrmg.org
  • www.etwas-mode.de
  • www.rewardst.com
  • 757555.ru
  • www.8ingatlan.hu
  • oklens.co.jp
  • www.a2zhostings.com
  • www.abavitis.hu
  • abtechsafety.com
  • acentrum.pl
  • www.adamant-np.ru
  • furdoszoba.info
  • adavenue.net
  • ccooaytomadrid.org
  • abtechsafety.com
  • av2026.comex.ru
  • 80.146.233.41
  • www.barth.serwery.pl
  • www.leap.co.il
  • virt33.kei.pl
  • www.bmswijndepot.com
  • 209.126.128.203
  • www.timecontrol.com.pl
  • adoptionscanada.ca
  • 65.108.195.73
  • tkdami.net
  • www.ubu.pl
  • adventecgroup.com
  • sacafterdark.net
  • agenciaspublicidadinternet.com
  • www.agroturystyka.artneo.pl
  • kepter.kz
  • ahava.cafe24.com
  • mijusungdo.net
  • aibsnlea.org
  • aikidan.com
  • 202.44.52.38
  • drinkwater.ru
  • ala-bg.net
  • allinfo.com.au
  • eleceltek.com
  • alevibirligi.ch
  • alfaclassic.sk
  • allanconi.it
  • www.americarising.com
  • americasenergyco.com
  • amerykaameryka.com
  • amistra.com
  • analisisyconsultoria.com
  • calamarco.com

 

Detección y eliminación

El gusano se controla desde los DAT 4618, para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA.

SATINFO, VIRUSCAN SPAIN SERVICE 03 de Noviembre de 2005

Anterior