w32/bagle.bh

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/bagle.bh

w32.beagle.bh@mm
tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 01/03/2005
w32/bagle.bh@mm, es un gusano que se difunde a trav?s de envi? masivos de e-mail utilizando su propio motor smtp, env?a una copia del troyano trojan/tosoo.b, el cual descargar? al gusano, adem?s tiene caracter?sticas de troyano backdoor y esta comprimido con pex.
caracter?sticas del mensaje de email:
asunto: [en blanco]
cuerpo: [alguno de los siguientes]
new price archivo adjunto: [variable, el archivo zip contiene un archivo del mismo nombre con extensi?n .exe y un archivo de nombre price.html y a la vez una copia del troyano trojan/tosoo.b]
price.zip price2.zip price_new.zip price_08.zip 08_price.zip newprice.zip new_price.zip new__price.zip -----------------------
cuando el gusano se ejecuta se copia a si mismo como:
system \windlhhl.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
seguidamente crea varios mutex, los cuales aseguran que solo una instancia del gusano se ejecute y previenen que variantes del netsky se ejecuten en el computador atacado
muxxxxtenyksdesignedasthefollowerofskynet-d droppedskynet _-ooaxx|-+s+-+k+-+y+-+n+-+e+-+t+-|xxkoo-_ [skynet.cz]systemsmutex admskynetjkls003 ____--->>>>u<<<<--____ _-oo]xx|-s-k-y-n-e-t-|xx[oo-_ adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\ru1n
erghgjhgdr= system \windlhhl.exe
luego crea las siguientes llaves en el registro:
hkey_local_machine\software\microsoft\windows\currentversion\ru1n
hkey_current_user\software\microsoft\windows\currentversion\ru1n
el gusano baja los niveles de seguridad en el computador atacado, de esta manera intenta deshabilitar programas antivirus y de seguridad, el gusano intentara eliminar las siguientes entradas en el registro para lograrlo.
hkey_local_machine\software\microsoft\windows\currentversion\run\9xhtprotect hkey_local_machine\software\microsoft\windows\currentversion\run\antivirus hkey_local_machine\software\microsoft\windows\currentversion\run\easyav hkey_local_machine\software\microsoft\windows\currentversion\run\firewallsvr hkey_local_machine\software\microsoft\windows\currentversion\run\htprotect hkey_local_machine\software\microsoft\windows\currentversion\run\icq net hkey_local_machine\software\microsoft\windows\currentversion\run\icqnet hkey_local_machine\software\microsoft\windows\currentversion\run\jammer2nd hkey_local_machine\software\microsoft\windows\currentversion\run\kasperskyveng hkey_local_machine\software\microsoft\windows\currentversion\run\msinfo hkey_local_machine\software\microsoft\windows\currentversion\run\my av hkey_local_machine\software\microsoft\windows\currentversion\run\netdy hkey_local_machine\software\microsoft\windows\currentversion\run\norton antivirus av hkey_local_machine\software\microsoft\windows\currentversion\run\pandaavengine hkey_local_machine\software\microsoft\windows\currentversion\run\skynetsrevenge hkey_local_machine\software\microsoft\windows\currentversion\run\special firewall service hkey_local_machine\software\microsoft\windows\currentversion\run\sysmonxp hkey_local_machine\software\microsoft\windows\currentversion\run\tiny av hkey_local_machine\software\microsoft\windows\currentversion\run\zone labs client ex hkey_local_machine\software\microsoft\windows\currentversion\run\service hkey_current_user\software\microsoft\windows\currentversion\run\9xhtprotect hkey_current_user\software\microsoft\windows\currentversion\run\antivirus hkey_current_user\software\microsoft\windows\currentversion\run\easyav hkey_current_user\software\microsoft\windows\currentversion\run\firewallsvr hkey_current_user\software\microsoft\windows\currentversion\run\htprotect hkey_current_user\software\microsoft\windows\currentversion\run\icq net hkey_current_user\software\microsoft\windows\currentversion\run\icqnet hkey_current_user\software\microsoft\windows\currentversion\run\jammer2nd hkey_current_user\software\microsoft\windows\currentversion\run\kasperskyaveng hkey_current_user\software\microsoft\windows\currentversion\run\msinfo hkey_current_user\software\microsoft\windows\currentversion\run\my av hkey_current_user\software\microsoft\windows\currentversion\run\netdy hkey_current_user\software\microsoft\windows\currentversion\run\norton antivirus av hkey_current_user\software\microsoft\windows\currentversion\run\pandaavengine hkey_current_user\software\microsoft\windows\currentversion\run\skynetsrevenge hkey_current_user\software\microsoft\windows\currentversion\run\special firewall service hkey_current_user\software\microsoft\windows\currentversion\run\sysmonxp hkey_current_user\software\microsoft\windows\currentversion\run\tiny av hkey_current_user\software\microsoft\windows\currentversion\run\zone labs client ex hkey_current_user\software\microsoft\windows\currentversion\run\service finalmente abre el puerto tcp 80 o udp 80 para utilizar al computador atacado como un e-mail relay (envi? masivos de email spam), tambi?n descargar? un archivo del dominio oceancareers.com el cual guardara en el computador como windows \eml.exe
nota:
windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo