• Sábado 21 de Diciembre de 2024, 15:01

Autor Tema:  Beagle.ay  (Leído 1274 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Beagle.ay
« en: Sábado 29 de Enero de 2005, 17:39 »
0

Peligrosidad: 3 - Media     
Difusión: Media   
Fecha de Alta:27-01-2005
Última Actualización:28-01-2005
Daño:   Medio
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm.W32/Beagle.AY@P2P+MM   
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Alias:W32.Beagle.AY@mm (Symantec), W32/Bagle.bj@MM (McAfee), W32/Bagle.BK.worm (Panda Software), WORM_BAGLE.AZ (Trend Micro), W32/Bagle-AY (Sophos), Win32/Bagle.AW (ESET (NOD32)), WORM_BAGLE.AY (Trend Micro), Email-Worm.Win32.Bagle.ay (Kaspersky (viruslist.com)), W32/Bagle.AY@mm (PerAntivirus), Win32.Bagle.AY@mm (Bit Defender), Win32.Bagle.AV (Computer Associates)
Detalles
Cuando Worm.W32/Beagle.AY@MM es ejecutado, realiza las siguientes acciones:

   1. Para evitar la ejecución de determinadas amenazas al reinicio del sistema, elimina los valores indicados de las siguientes entradas del registro de Windows:

Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
            HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores: "My AV", "ICQ Net"

2. Crea los siguientes ficheros:
    * %System%\sysformat.exe
    * %System%\sysformat.exeopen
    * %System%\sysformat.exeopenopen

Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

3. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Sysformat" = "%System%\sysformat.exe"

4. Podría añadir las siguientes claves al registro de Windows:
Claves: HKEY_CURRENT_USER\Software\Microsoft\DownloadManager
            HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager

5. Intenta finalizar la ejecución de los siguientes procesos relativos a programas antivirus y otras herramientas de seguridad:
          * APVXDWIN.EXE
          * ATUPDATER.EXE
          * AUPDATE.EXE
          * AUTODOWN.EXE
          * AUTOTRACE.EXE
          * AUTOUPDATE.EXE
          * AVENGINE.EXE
          * AVPUPD.EXE
          * AVWUPD32.EXE
          * AVXQUAR.EXE
          * Avconsol.exe
          * Avsynmgr.exe
          * CFIAUDIT.EXE
          * DRWEBUPW.EXE
          * DefWatch.exe
          * ESCANH95.EXE
          * ESCANHNT.EXE
          * FIREWALL.EXE
          * FrameworkService.exe
          * ICSSUPPNT.EXE
          * ICSUPP95.EXE
          * LUALL.EXE
          * LUCOMS~1.EXE
          * MCUPDATE.EXE
          * NISUM.EXE
          * NPROTECT.EXE
          * NUPGRADE.EXE
          * OUTPOST.EXE
          * PavFires.exe
          * Rtvscan.exe
          * RuLaunch.exe
          * SAVScan.exe
          * SHSTAT.EXE
          * SNDSrvc.exe
          * UPDATE.EXE
          * UpdaterUI.exe
          * VsStat.exe
          * VsTskMgr.exe
          * Vshwin32.exe
          * alogserv.exe
          * bawindo.exe
          * blackd.exe
          * ccApp.exe
          * ccEvtMgr.exe
          * ccProxy.exe
          * ccPxySvc.exe
          * mcagent.exe
          * mcshield.exe
          * mcvsescn.exe
          * mcvsrte.exe
          * mcvsshld.exe
          * navapsvc.exe
          * navapw32.exe
          * nopdb.exe
          * pavProxy.exe
          * pavsrv50.exe
          * symlcsvc.exe

6. Busca directorios que contengan en su nombre la cadena "shar" y se replica a sí mismo en ellos con alguno de los nombres citados a continuación.
La finalidad de esta acción es la de propagarse a través de redes de intercambio de ficheros (p2p), ya que algunas de ellas como Bearshare, KaZaA, Limewire, Morpheus, etc, utilizan un directorio de intercambio que incluye la cadena 'shar'.
          * 1.exe
          * 10.exe
          * 2.exe
          * 3.exe
          * 4.exe
          * 5.scr
          * 6.exe
          * 7.exe
          * 8.exe
          * 9.exe
          * ACDSee 9.exe
          * Adobe Photoshop 9 full.exe
          * Ahead Nero 7.exe
          * Matrix 3 Revolution English Subtitles.exe
          * Opera 8 New!.exe
          * WinAmp 5 Pro Keygen Crack Update.exe
          * WinAmp 6 New!.exe
          * Windown Longhorn Beta Leak.exe
          * XXX hardcore images.exe

7. Busca direcciones de correo electrónico incluidas en los ficheros que tienen alguna de las siguientes extensiones:
          * .adb
          * .asp
          * .cfg
          * .cgi
          * .dbx
          * .dhtm
          * .eml
          * .htm
          * .jsp
          * .mbx
          * .mdx
          * .mht
          * .mmf
          * .msg
          * .nch
          * .ods
          * .oft
          * .php
          * .pl
          * .sht
          * .shtm
          * .stm
          * .tbb
          * .txt
          * .uin
          * .wab
          * .wsh
          * .xls
          * .xml

8. Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviar mensajes a las direcciones de correo recopiladas de los ficheros antes citados.

      El mensaje enviado tiene las siguientes caracteríticas:
      Remitente: - falsificado -
      Asunto: uno de los siguientes:
          * Delivery by mail
          * Delivery service mail
          * Is delivered mail
          * Registration is accepted
          * You are made active
      Cuerpo del mensaje: uno de los siguientes:
          * Before use read the help
          * Thanks for use of our software.
      Fichero Anexo: uno de los siguientes:
          * Jol03
          * guupd02
          * siupd02
          * upd02
          * viupd02
          * wsd01
          * zupd02
      seguido por alguna de las siguientes extensiones:
          * .com
          * .cpl
          * .exe
          * .scr

9. Evita evitar el envío del mensaje a direcciones de correo que contengan cualquiera de las siguientes cadenas de caracteres:
          * @avp.
          * @foo
          * @iana
          * @messagelab
          * @microsoft
          * abuse
          * admin
          * anyone@
          * bsd
          * bugs@
          * cafee
          * certific
          * contract@
          * f-secur
          * feste
          * free-av
          * gold-certs@
          * google
          * help@
          * icrosoft
          * info@
          * kasp
          * linux
          * listserv
          * local
          * news
          * nobody@
          * noone@
          * noreply
          * ntivi
          * panda
          * pgp
          * postmaster@
          * rating@
          * root@
          * samples
          * sopho
          * spam
          * support
          * unix
          * update
          * winrar
          * winzip

10. Intenta descargar un fichero de los siguientes dominios y seguidamente lo guarda como %System%\re_file.exe:
[NOTA DEL ADMINISTRADOR: LINKS ELIMINADOS A PETICION DEL WEBMASTER DE UNO DE LOS SITIOS LISTADOS]

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * zupd02
    * wsd01
    * viupd02
    * upd02
    * siupd02
    * guupd02
    * Jol03

Asunto del mensaje (virus que llegan por correo)

    * You are made active
    * Registration is accepted
    * Is delivered mail
    * Delivery service ma
« última modificación: Jueves 23 de Octubre de 2014, 20:29 por iron man »
El pasado son solo recuerdos, el futuro son solo sueños