acerca de
contacto
términos y condiciones
glosario
  > buscador
 
  > búsqueda avanzada
 principal
 alertas
 listas de correo
 noticias
 bulos
 enciclopedia
 virus
 envío de muestras
 para webmasters
Herramientas contra:
 

(c) Paolo Monti
  Enciclopedia Virus
es una página de
 >  VIRUS: WIN32/BAGLE.BI
  descripción
  nombre: Win32/Bagle.BI
  aliases: Bagle.BI, Bagle.BY, Bagle.da, DR/Bagle.0.2, DR/Bagle.P, Dropper/Bagle.P, Email-Worm.Win32.Bagle.BJ, Email-Worm.Win32.Bagle.bq, Email-Worm.Win32.Bagle.BQ, Email-Worm.Win32.Bagle.BR, Email-Worm.Win32.Bagle.by, Email-Worm.Win32.Bagle.cf, Email-Worm.Win32.Bagle.CF, Email-Worm.Win32.Bagle.cr, Email-Worm.Win32.Bagle.CS, Email-Worm.Win32.Bagle.cs, Email-Worm.Win32.Bagle.cu, Email-Worm.Win32.Bagle.cy, Email-Worm.Win32.Bagle.da, Embedded.Worm.Bagle.Gen, I-Worm.Bagle.01A1, I-Worm.Bagle.bq, I-Worm.Bagle.cs, I-Worm.Bagle.Runner, I-Worm/Bagle, I-Worm/Bagle.CG, I-Worm/Bagle.DL, I-Worm/Bagle.EP, I-Worm/Bagle.EX, I-Worm/Bagle.gen, TR/Bagle.CQ, TR/Bagle.CR, TR/Dldr.Bagle.BT.2, Trj/Mitglieder.DQ, Trj/Mitglieder.EW, Trj/Mitglieder.EX, Troj/Bagle.AA, Troj/Bagle.DI-R, Troj/BagleDl-R, Troj/BagleDl-S, Troj/BagleDl-U, Troj/Dropper-BB, Troj/Dropper-BE, Troj/Tooso.K, TROJ_BAGLE.AA, TROJ_BAGLE.BB, Trojan.Tooso.J, Trojan.Tooso.K, Trojan.Tooso.L, Trojan.Tooso.M, Trojan.Tooso.N, Trojan.Tooso.O, Trojan.Tooso.P, W32.Beagle.CC@mm, W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.bq, W32/Bagle.BQ-mm, W32/Bagle.BR@mm, W32/Bagle.CF-mm, W32/Bagle.ci, W32/Bagle.cj, W32/Bagle.CR-mm, W32/Bagle.cs, W32/Bagle.CS, W32/Bagle.CS-mm, W32/Bagle.CU-mm, W32/Bagle.da, W32/Bagle.DK, W32/Bagle.DL, W32/Bagle.dldr, W32/Bagle.dldr.gen, W32/Bagle.DW.worm, W32/Bagle.EK.worm, W32/Bagle.EL.worm, W32/Bagle.gen, W32/Bagle.worm.gen, W32/Bagle@MM!cpl, W32/Bagle@MM.cpl, W32/Mitglied.I, W32/Mitglied.IR, W32/Mitglieder.CO, W32/Mitglieder.DT, W32/Mitglieder.FA, W32/Mitglieder.FB, W32/Mitglieder.FE, W32/Mitglieder.FF, Win32, Win32.Bagle.BQ@mm, Win32.Bagle.CF@mm, Win32.Bagle.CJ@mm, Win32.Bagle.CM@mm, Win32.Bagle.CU@mm, Win32.Glieder!generic, Win32.Glieder.AO, Win32.Glieder.BH, Win32.HLLM.Beagle.12288, Win32.HLLM.Beagle.18848, Win32.HLLM.Beagle.36864, Win32/Bagle.BI, Win32/Glieder!ZIP!Trojan, Win32/Glieder.14253!Trojan, Win32/Glieder.AO!Trojan, Win32/Glieder.BH!Trojan, Win32:Beagle-BG3, Win32:Beagle-CC, Win32:Beagle-CR2, Win32:Beagle-DP, Win32:Beagle-DU, Win32:Beagle-DV, Win32:Mitglieder-BJ, Win32:Mitglieder-BK, Worm.Bagle.3, Worm.Bagle.BB-gen, Worm.Bagle.BN, Worm.Bagle.BO, Worm.Bagle.Gen, Worm.Bagle.Gen-3, Worm.Beagle.AV, Worm/Bagle.CI, Worm/Bagle.CQ, Worm/Bagle.Gen
  tipo: Gusano de Internet
  fecha: 26/06/2005
  gravedad general:
Media
  distribución:
Media
  daño:
Medio
  destructivo: No
  origen: Desconocido
  nombre asignado por: ESET

 >  INFORMACION
Gusano que es descargado de Internet por otro troyano. Al ejecutarse, para intentar engañar al usuario, abre el Microsoft Paint (mspaint.exe). Detectado el 26 de junio, una variante recomprimida fue detectada el 8 de agosto de 2005.

 >  CARACTERISTICAS

Se copia a si mismo en la siguiente ubicación:

  C:\Windows\System32\WINSHOST.EXE

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  winshost.exe = "C:\Windows\System32\WINSHOST.EXE"

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  winshost.exe = "C:\Windows\System32\WINSHOST.EXE"

También crea las siguientes claves del registro como marca de infección:

  HKEY_CURRENT_USER\Software\FirstRun
  FirstRunRR = "dword:00000001"

  HKEY_USERS\.DEFAULT\Software\FirstRun
  FirstRunRR = "dword:00000001"

Y modifica las siguientes entradas

  HKLM\SYSTEM\CurrentControlSet\Services\Alerter
  Start = "dword:00000004"

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
  Start = "dword:00000004"

  HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
  Start = "dword:00000004"

Luego, el troyano libera el siguiente archivo:

  C:\Windows\System32\WIWSHOST.EXE

WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnología NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código.

Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer.

Sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información (esto deja el archivo HOSTS con su configuración por defecto):

  127.0.0.1 localhost

El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres:

  a5v.dll
  AUPD1ATE.EXE
  AUPDATE.EXE
  AUPDATE.EXE
  av.dll
  av.dll
  Av1synmgr.exe
  Avc1onsol.exe
  Avconsol.exe
  Avconsol.exe
  avg23emc.exe
  avgc3c.exe
  avgcc.exe
  avgcc.exe
  avgemc.exe
  avgemc.exe
  Avsynmgr.exe
  Avsynmgr.exe
  C1CSETMGR.EXE
  c6a5fix.exe
  cafix.exe
  cafix.exe
  CC1EVTMGR.EXE
  cc1l30.dll
  ccA1pp.exe
  ccApp.exe
  ccApp.exe
  CCEVTMGR.EXE
  CCEVTMGR.EXE
  ccl30.dll
  ccl30.dll
  CCSETMGR.EXE
  CCSETMGR.EXE
  ccv1rtrst.dll
  ccvrtrst.dll
  ccvrtrst.dll
  CM1Grdian.exe
  CMGrdian.exe
  CMGrdian.exe
  is5a6fe.exe
  isafe.exe
  isafe.exe
  K2A2V.exe
  KAV.exe
  KAV.exe
  kav12mm.exe
  kavmm.exe
  kavmm.exe
  LUAL1L.EXE
  LUALL.EXE
  LUALL.EXE
  LUI1NSDLL.DLL
  LUINSDLL.DLL
  LUINSDLL.DLL
  Luup1date.exe
  Luupdate.exe
  Luupdate.exe
  Mcsh1ield.exe
  Mcshield.exe
  Mcshield.exe
  mysuperprog.exe
  NAV1APSVC.EXE
  NAVAPSVC.EXE
  NAVAPSVC.EXE
  NPFM1NTOR.EXE
  NPFMNTOR.EXE
  NPFMNTOR.EXE
  outp1ost.exe
  outpost.exe
  outpost.exe
  RuLa1unch.exe
  RuLaunch.exe
  RuLaunch.exe
  s1ymlcsvc.exe
  SND1Srvc.exe
  SNDSrvc.exe
  SNDSrvc.exe
  SP1BBCSvc.exe
  SPBBCSvc.exe
  SPBBCSvc.exe
  symlcsvc.exe
  symlcsvc.exe
  Up222Date.exe
  Up2Date.exe
  Up2Date.exe
  ve6tre5dir.dll
  vetredir.dll
  vetredir.dll
  Vs1Stat.exe
  vs6va5ult.dll
  Vshw1in32.exe
  Vshwin32.exe
  Vshwin32.exe
  VsStat.exe
  VsStat.exe
  vsvault.dll
  vsvault.dll
  zatu6tor.exe
  zatutor.exe
  zatutor.exe
  zatutor.exe
  zl5avscan.dll
  zlavscan.dll
  zlavscan.dll
  zlavscan.dll
  zlcli6ent.exe
  zlclient.exe
  zlclient.exe
  zo3nealarm.exe
  zonealarm.exe
  zonealarm.exe
  zonealarm.exe

Intentará descargar y ejecutar otros archivos desde numerosos servidores de Internet.

Este troyano fue detectado proactivamente por la heurística de NOD32, aún antes de ser agregado a su base de datos.

 >  INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

  http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleBB

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Run

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

6. Borre la carpeta "FirstRun" en las siguientes claves del registro:

  HKEY_CURRENT_USER\Software\FirstRun

  HKEY_USERS\.DEFAULT\Software\FirstRun

7. Cambie el valor de "Start" por los aquí indicados en las siguientes claves del registro:

  HKLM\SYSTEM\CurrentControlSet\Services\Alerter
  Start = "dword:00000004"

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
  Start = "dword:00000002"

  HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
  Start = "dword:00000002"

8. Cierre el editor del registro.

9. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

  c:\windows\
  c:\windows\system32\drivers\etc\
  c:\winnt\system32\drivers\etc\

10. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

11. Borre todas las líneas que comiencen con un número, salvo las siguientes:

  127.0.0.1 localhost

12. Acepte guardar los cambios al salir del bloc de notas.

13. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.


 

 

 

 

 


ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS
términos y condiciones | ayuda | contacto | acerca de
  > lista de correo...  
 

Introduzca su email y reciba las últimas noticias sobre virus.

  
   

  > alertas  
  Los más vistos:  
 
   Win32/Etap.E
 
 
   Win32/Mytob.PI
 
 
   Win32/Sober.Y
 
 
   Win32/Bagle.BI
 
 
   Win32/Sober.R
 

  > últimos virus  
  Últimos 5 virus, con sus descripciones:  
 
   09-12 | Win32/Etap.E
 
 
   09-12 | LockScreen.HW
 
 
   09-12 | LockScreen.JN
 
 
   14-05 | Spy.Swisyn.AC
 
 
   14-05 | Win32/Witkinat.B
 

  > ránking  
  5 virus más detectados por INTECO-CERT para PYMES y Ciudadanos:  
 
   Win32/Netsky.P  |  36.20 %
 
 
   Win32/Netsky.B  |  29.80 %
 
 
   Win32/Netsky.Q  |  6.60 %
 
 
   Bagle.FU  |  3.50 %
 
 
   Zafi.Gen  |  2.50 %
 
 
facilitado por     
 

  > sabías que...  
 

... spoofing es un término anglosajón usado para designar la suplantación de identidad en diferentes procesos. Esos procesos involucran ordenadores en redes o Internet.

 

ENCICLOPEDIA VIRUS 2002 - Todos los derechos reservados powered by