SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Sábado 29 de Enero de 2005, 17:39
-
Peligrosidad: 3 - Media
Difusión: Media
Fecha de Alta:27-01-2005
Última Actualización:28-01-2005
Daño: Medio
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Beagle.AY@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Alias:W32.Beagle.AY@mm (Symantec), W32/Bagle.bj@MM (McAfee), W32/Bagle.BK.worm (Panda Software), WORM_BAGLE.AZ (Trend Micro), W32/Bagle-AY (Sophos), Win32/Bagle.AW (ESET (NOD32)), WORM_BAGLE.AY (Trend Micro), Email-Worm.Win32.Bagle.ay (Kaspersky (viruslist.com)), W32/Bagle.AY@mm (PerAntivirus), Win32.Bagle.AY@mm (Bit Defender), Win32.Bagle.AV (Computer Associates)
Detalles
Cuando Worm.W32/Beagle.AY@MM es ejecutado, realiza las siguientes acciones:
1. Para evitar la ejecución de determinadas amenazas al reinicio del sistema, elimina los valores indicados de las siguientes entradas del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores: "My AV", "ICQ Net"
2. Crea los siguientes ficheros:
* %System%\sysformat.exe
* %System%\sysformat.exeopen
* %System%\sysformat.exeopenopen
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
3. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Sysformat" = "%System%\sysformat.exe"
4. Podría añadir las siguientes claves al registro de Windows:
Claves: HKEY_CURRENT_USER\Software\Microsoft\DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
5. Intenta finalizar la ejecución de los siguientes procesos relativos a programas antivirus y otras herramientas de seguridad:
* APVXDWIN.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVENGINE.EXE
* AVPUPD.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* Avconsol.exe
* Avsynmgr.exe
* CFIAUDIT.EXE
* DRWEBUPW.EXE
* DefWatch.exe
* ESCANH95.EXE
* ESCANHNT.EXE
* FIREWALL.EXE
* FrameworkService.exe
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* LUCOMS~1.EXE
* MCUPDATE.EXE
* NISUM.EXE
* NPROTECT.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* PavFires.exe
* Rtvscan.exe
* RuLaunch.exe
* SAVScan.exe
* SHSTAT.EXE
* SNDSrvc.exe
* UPDATE.EXE
* UpdaterUI.exe
* VsStat.exe
* VsTskMgr.exe
* Vshwin32.exe
* alogserv.exe
* bawindo.exe
* blackd.exe
* ccApp.exe
* ccEvtMgr.exe
* ccProxy.exe
* ccPxySvc.exe
* mcagent.exe
* mcshield.exe
* mcvsescn.exe
* mcvsrte.exe
* mcvsshld.exe
* navapsvc.exe
* navapw32.exe
* nopdb.exe
* pavProxy.exe
* pavsrv50.exe
* symlcsvc.exe
6. Busca directorios que contengan en su nombre la cadena "shar" y se replica a sí mismo en ellos con alguno de los nombres citados a continuación.
La finalidad de esta acción es la de propagarse a través de redes de intercambio de ficheros (p2p), ya que algunas de ellas como Bearshare, KaZaA, Limewire, Morpheus, etc, utilizan un directorio de intercambio que incluye la cadena 'shar'.
* 1.exe
* 10.exe
* 2.exe
* 3.exe
* 4.exe
* 5.scr
* 6.exe
* 7.exe
* 8.exe
* 9.exe
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Opera 8 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* XXX hardcore images.exe
7. Busca direcciones de correo electrónico incluidas en los ficheros que tienen alguna de las siguientes extensiones:
* .adb
* .asp
* .cfg
* .cgi
* .dbx
* .dhtm
* .eml
* .htm
* .jsp
* .mbx
* .mdx
* .mht
* .mmf
* .msg
* .nch
* .ods
* .oft
* .php
* .pl
* .sht
* .shtm
* .stm
* .tbb
* .txt
* .uin
* .wab
* .wsh
* .xls
* .xml
8. Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviar mensajes a las direcciones de correo recopiladas de los ficheros antes citados.
El mensaje enviado tiene las siguientes caracteríticas:
Remitente: - falsificado -
Asunto: uno de los siguientes:
* Delivery by mail
* Delivery service mail
* Is delivered mail
* Registration is accepted
* You are made active
Cuerpo del mensaje: uno de los siguientes:
* Before use read the help
* Thanks for use of our software.
Fichero Anexo: uno de los siguientes:
* Jol03
* guupd02
* siupd02
* upd02
* viupd02
* wsd01
* zupd02
seguido por alguna de las siguientes extensiones:
* .com
* .cpl
* .exe
* .scr
9. Evita evitar el envío del mensaje a direcciones de correo que contengan cualquiera de las siguientes cadenas de caracteres:
* @avp.
* @foo
* @iana
* @messagelab
* @microsoft
* abuse
* admin
* anyone@
* bsd
* bugs@
* cafee
* certific
* contract@
* f-secur
* feste
* free-av
* gold-certs@
* google
* help@
* icrosoft
* info@
* kasp
* linux
* listserv
* local
* news
* nobody@
* noone@
* noreply
* ntivi
* panda
* pgp
* postmaster@
* rating@
* root@
* samples
* sopho
* spam
* support
* unix
* update
* winrar
* winzip
10. Intenta descargar un fichero de los siguientes dominios y seguidamente lo guarda como %System%\re_file.exe:
[NOTA DEL ADMINISTRADOR: LINKS ELIMINADOS A PETICION DEL WEBMASTER DE UNO DE LOS SITIOS LISTADOS]
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* zupd02
* wsd01
* viupd02
* upd02
* siupd02
* guupd02
* Jol03
Asunto del mensaje (virus que llegan por correo)
* You are made active
* Registration is accepted
* Is delivered mail
* Delivery service ma