Lunes 23 de Diciembre de 2024, 12:35
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Bagle.bd
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Bagle.bd (Leído 1131 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Bagle.bd
«
en:
Martes 26 de Julio de 2005, 18:36 »
0
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:26-07-2005
Última Actualización:26-07-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Bagle.BD@MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:WORM_BAGLE.BD (Trend Micro), W32/Bagle.BD@mm (PerAntivirus)
Detalles
Instalación
El mensaje recibido tendrá las siguientes características:
Remitente: emplea la técnica Spoofing que disfraza las direcciones.
Asunto: Foto
Mensaje: uno de los siguientes:
* Foto
* Pass - [contraseña del adjunto]
* Password - [contraseña del adjunto]
* Password: [contraseña del adjunto]
* The password is [contraseña del adjunto]
Adjunto: uno de los siguientes:
* Foto.zip
* fotos.zip
Propagación
El gusano captura los buzones de correo de la Libreta de Direcciones Windows (WAB) y usa el servidor SMTP (Simple Mail Transfer Protocol) smtp.mail.ru para su rutina de envío masivo.
En caso de fallo, emplea su propio motor SMTP o tratará de utilizar el Servidor Exchange MX local. Si también falla tratará de propagarse a través de un servidor con la dirección IP 217.5.97.137 en (Deutsche Telekom AG-Alemania).
Evita enviarse a las direcciones que tengan las siguientes cadenas:
* @avp.
* @derewrdgrs
* @eerswqe
* @iana
* @messagelab
* @microsoft
* abuse
* admin
* anyone@
* bugs@
* cafee
* certific
* contract@
* feste
* free-av
* f-secur
* gold-certs@
* google
* help@
* icrosoft
* info@
* linux
* listserv
* local
* nobody@
* noone@
* noreply
* ntivi
* panda
* postmaster@
* rating@
* root@
* samples
* sopho
* support
* update
* winrar
* winzip
Para evitar ser ejecutado en memoria más de una vez e impedir la ejecución de algunas variantes del gusano Netsky, crea el mutex (Exclusión Mutua):
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Se copia a la carpeta %System% con el nombre de windll.exe.
Crea las siguientes claves de registro para facilitar su propia ejecución en cada reinicio de Windows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erthgdr" = "%System%\windll.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erthgdr" = "%System%\windll.exe"
Al siguiente inicio el gusano borra los siguientes valores de las claves de autoejecución del sistema:
* ICQ Net
* My AV
Intenta descargar de un sitio web el archivo EML.EXE que es una variante del gusano Bagle.
Actuando como Backdoor se conecta al puerto TCP 80 y configura el sistema infectado como un servidor web. También permite a los intrusos descargar el archivo RE_FILE.EXE a otros sistemas usando puertos que se encuentren abiertos, elegidos aleatoriamente y auto-ejecutarlo en memoria.
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* fotos.zip
* Foto.zip
Asunto del mensaje (virus que llegan por correo)
* Foro
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Bagle.bd