Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/bagle.cc

w32/bagle.cc

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/bagle.cc

w32.beagle.cc@mm
tipo: gusano
tama?o: 36,352 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 09/08/2005.
w32/bagle.cc@mm, es un gusano que se difunde a trav?s de envi? masivos de e-mail, utiliza su propio motor smtp para enviar copias del troyano trojan/tooso.k.
caracter?sticas del mensaje de e-mail:
asunto: en blanco
cuerpo: [uno de los siguientes:]
the password is password: archivo adjunto: [uno de los siguientes:]
beach.zip in_park.zip kitten.zip legs.zip new.zip original.zip ------------------------------------
cuando el gusano se ejecuta este copia as? mismo dentro de:
system \svc.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
seguidamente crea los siguientes mutex para prevenir que una variante del w32/netsky se ejecute.
muxxxxtenyksdesignedasthefollowerofskynet-d droppedskynet -ooaxx|-+s+-+k+-+y+-+n+-+e+-+t+-|xxkoo-_ [skynet.cz]systemsmutex admskynetjkls003 ____--->>>>u<<<<--____ -oo]xx|-s-k-y-n-e-t-|xx[oo-_ adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\ru1n
erthgdr= system \svc.exe
hkey_local_machine\software\microsoft\windows\currentversion\ru1n
erthgdr= system \svc.exe
el gusano baja los niveles de seguridad en el computador atacado, de esta manera intenta deshabilitar programas antivirus y de seguridad, el gusano intentara eliminar las siguientes entradas en el registro para lograrlo.
hkey_local_machine\software\microsoft\windows\currentversion\run\my av hkey_local_machine\software\microsoft\windows\currentversion\run\zone labs client ex hkey_local_machine\software\microsoft\windows\currentversion\run\9xhtprotect hkey_local_machine\software\microsoft\windows\currentversion\run\antivirus hkey_local_machine\software\microsoft\windows\currentversion\run\special firewall service hkey_local_machine\software\microsoft\windows\currentversion\run\service hkey_local_machine\software\microsoft\windows\currentversion\run\tiny av hkey_local_machine\software\microsoft\windows\currentversion\run\icqnet hkey_local_machine\software\microsoft\windows\currentversion\run\htprotect hkey_local_machine\software\microsoft\windows\currentversion\run\netdy hkey_local_machine\software\microsoft\windows\currentversion\run\jammer2nd hkey_local_machine\software\microsoft\windows\currentversion\run\firewallsvr hkey_local_machine\software\microsoft\windows\currentversion\run\msinfo hkey_local_machine\software\microsoft\windows\currentversion\run\sysmonxp hkey_local_machine\software\microsoft\windows\currentversion\run\easyav hkey_local_machine\software\microsoft\windows\currentversion\run\pandaavengine hkey_local_machine\software\microsoft\windows\currentversion\run\norton antivirus av hkey_local_machine\software\microsoft\windows\currentversion\run\kasperskyaveng hkey_local_machine\software\microsoft\windows\currentversion\run\skynetsrevenge hkey_local_machine\software\microsoft\windows\currentversion\run\icq net hkey_current_user\software\microsoft\windows\currentversion\run\my av hkey_current_user\software\microsoft\windows\currentversion\run\zone labs client ex hkey_current_user\software\microsoft\windows\currentversion\run\9xhtprotect hkey_current_user\software\microsoft\windows\currentversion\run\antivirus hkey_current_user\software\microsoft\windows\currentversion\run\special firewall service hkey_current_user\software\microsoft\windows\currentversion\run\service hkey_current_user\software\microsoft\windows\currentversion\run\tiny av hkey_current_user\software\microsoft\windows\currentversion\run\icqnet hkey_current_user\software\microsoft\windows\currentversion\run\htprotect hkey_current_user\software\microsoft\windows\currentversion\run\netdy hkey_current_user\software\microsoft\windows\currentversion\run\jammer2nd hkey_current_user\software\microsoft\windows\currentversion\run\firewallsvr hkey_current_user\software\microsoft\windows\currentversion\run\msinfo hkey_current_user\software\microsoft\windows\currentversion\run\sysmonxp hkey_current_user\software\microsoft\windows\currentversion\run\easyav hkey_current_user\software\microsoft\windows\currentversion\run\pandaavengine hkey_current_user\software\microsoft\windows\currentversion\run\norton antivirus av hkey_current_user\software\microsoft\windows\currentversion\run\kasperskyaveng hkey_current_user\software\microsoft\windows\currentversion\run\skynetsrevenge hkey_current_user\software\microsoft\windows\currentversion\run\icq net intentar? descargar y ejecutar un archivo de una direcci?n url, llamado re_file.exe y guardarlo dentro de la carpeta system :
http://loca2/[xxxxx]/s1.php http://loca2/[xxxxx]/s3.php el gusano intentar? enviarse as? mismo utilizando su propio motor smtp a todas las direcciones de e-mail que encuentre en el computador atacado. el gusano evita enviarse a direcciones que contengan en su nombre el siguiente texto:
@avp. @derewrdgrs @eerswqe @foo @iana @messagelab @microsoft abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip finalmente el gusano abre el puerto tcp 80, para poder actuar como un servidor proxy.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo