w32/bagle.ce

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/bagle.ce

w32.beagle.ce@mm, worm_bagle.cg
tipo: gusano
tama?o: 32,768 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 11/08/2005.
w32/bagle.ce@mm, es un gusano que se difunde a trav?s de envi? masivos de e-mail, utiliza su propio motor smtp para enviar copias del troyano trojan/tooso.l.
caracter?sticas del mensaje de e-mail:
asunto: en blanco
cuerpo: [uno de los siguientes:]
the password is password: archivo adjunto: [uno de los siguientes:]
taxes.zip the_taxation.zip the_reporting_of_taxes.zip work and taxes.zip increase_in_the_tax.zip to_reduce_the_tax.zip el gusano evita enviarse a si mismo a las direcciones de e-mail que tengan en su nombre los siguientes textos:
@eerswqe @derewrdgrs @microsoft rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux listserv certific sopho @foo @iana free-av @messagelab winzip google winrar samples abuse panda cafee spam pgp @avp. noreply local root@ postmaster@ cuando el gusano se ejecuta este copia as? mismo dentro de:
system \svc23.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
seguidamente crea los siguientes mutex para prevenir que una variante del w32/netsky se ejecute.
vmuxxxxtenyksdesignedasthefollowerofskynet-d droppedskynet _-ooaxx|-+s+-+k+-+y+-+n+-+e+-+t+-|xxkoo-_ [skynet.cz]systemsmutex admskynetjkls003 ____--->>>>u<<<<--____ _-oo]xx|-s-k-y-n-e-t-|xx[oo-_ adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\ru1n
erthgdr2= system \svc23.exe
hkey_local_machine\software\microsoft\windows\currentversion\ru1n
erthgdr2= system \svc23.exe
el gusano baja los niveles de seguridad en el computador atacado, de esta manera intenta deshabilitar programas antivirus y de seguridad, el gusano intentara eliminar las siguientes entradas en el registro para lograrlo:
hkey_local_machine\software\microsoft\windows\currentversion\ru1n\my av hkey_local_machine\software\microsoft\windows\currentversion\ru1n\zone labs client ex hkey_local_machine\software\microsoft\windows\currentversion\ru1n\9xhtprotect hkey_local_machine\software\microsoft\windows\currentversion\ru1n\antivirus hkey_local_machine\software\microsoft\windows\currentversion\ru1n\special firewall service hkey_local_machine\software\microsoft\windows\currentversion\ru1n\service hkey_local_machine\software\microsoft\windows\currentversion\ru1n\tiny av hkey_local_machine\software\microsoft\windows\currentversion\ru1n\icqnet hkey_local_machine\software\microsoft\windows\currentversion\ru1n\htprotect hkey_local_machine\software\microsoft\windows\currentversion\ru1n\netdy hkey_local_machine\software\microsoft\windows\currentversion\ru1n\jammer2nd hkey_local_machine\software\microsoft\windows\currentversion\ru1n\firewallsvr hkey_local_machine\software\microsoft\windows\currentversion\ru1n\msinfo hkey_local_machine\software\microsoft\windows\currentversion\ru1n\sysmonxp hkey_local_machine\software\microsoft\windows\currentversion\ru1n\easyav hkey_local_machine\software\microsoft\windows\currentversion\ru1n\pandaavengine hkey_local_machine\software\microsoft\windows\currentversion\ru1n\norton antivirus av hkey_local_machine\software\microsoft\windows\currentversion\ru1n\kasperskyaveng hkey_local_machine\software\microsoft\windows\currentversion\ru1n\skynetsrevenge hkey_local_machine\software\microsoft\windows\currentversion\ru1n\icq net hkey_current_user\software\microsoft\windows\currentversion\ru1n\my av hkey_current_user\software\microsoft\windows\currentversion\ru1n\zone labs client ex hkey_current_user\software\microsoft\windows\currentversion\ru1n\9xhtprotect hkey_current_user\software\microsoft\windows\currentversion\ru1n\antivirus hkey_current_user\software\microsoft\windows\currentversion\ru1n\special firewall service hkey_current_user\software\microsoft\windows\currentversion\ru1n\service hkey_current_user\software\microsoft\windows\currentversion\ru1n\tiny av hkey_current_user\software\microsoft\windows\currentversion\ru1n\icqnet hkey_current_user\software\microsoft\windows\currentversion\ru1n\htprotect hkey_current_user\software\microsoft\windows\currentversion\ru1n\netdy hkey_current_user\software\microsoft\windows\currentversion\ru1n\jammer2nd hkey_current_user\software\microsoft\windows\currentversion\ru1n\firewallsvr hkey_current_user\software\microsoft\windows\currentversion\ru1n\msinfo hkey_current_user\software\microsoft\windows\currentversion\ru1n\sysmonxp hkey_current_user\software\microsoft\windows\currentversion\ru1n\easyav hkey_current_user\software\microsoft\windows\currentversion\ru1n\pandaavengine hkey_current_user\software\microsoft\windows\currentversion\ru1n\norton antivirus av hkey_current_user\software\microsoft\windows\currentversion\ru1n\kasperskyaveng hkey_current_user\software\microsoft\windows\currentversion\ru1n\skynetsrevenge hkey_current_user\software\microsoft\windows\currentversion\ru1n\icq net hkey_current_user\software\ ert2 hkey_current_user\software\microsoft \windows\currentversion\ru1n\erthgdr32 intentar? descargar y ejecutar un archivo de una direcci?n url, llamado re_file.exe y guardarlo dentro de la carpeta system :
http://loca2/s1.php/[xxxxxx] http://loca2/s3.php[xxxxxx] el gusano intentar? enviarse as? mismo utilizando su propio motor smtp a todas las direcciones de e-mail que encuentre en el computador atacado.
finalmente el gusano realiza las siguientes acciones:
abrir el puerto tcp 80, para poder actuar como un servidor proxy. accesar a los siguientes sitios web y descargar el archivo eml.exe dentro de la carpeta windows http://carnwoodcontracting.com/[xxxxx]/2/web.php http://fpcoc.org/images/[xxxxx]/web.php http://clickhare.com/images/[xxxxx]/web.php http://amerikansk-bulldog.dk/[xxxxx]/images/web.php http://goto.mk.ua/images/[xxxxx]/web.php http://golosmira.com/test/[xxxxx]/web.php http://eventpeopleforyou.com/[xxxxx]/help/web.php http://phdenmark.dk/images/[xxxxx]/web.php http://gamespy.cz/images/[xxxxx]/web.php http://fyeye.com/lyra/[xxxxx]/web.php http://findingmodels.net/[xxxxx]/images/web.php http://dunajec.zakliczyn.pnth.net/[xxxxx]/dunajec/web.php http://fiberfeed.com/images/[xxxxx]/web.php http://fiberdesign.co.uk/images/[xxxxx]/web.php http://ligapichangueras.cl/images/[xxxxx]/web.php http://familiasmaltratadas.com/images/[xxxxx]/web.php http://falconframingco.com/images/[xxxxx]/web.php http://representacion4380.net/images/[xxxxx]/web.php http://ekshrine.com/images/[xxxxx]/web.php http://dreamdecor.com.pl/images/[xxxxx]/web.php http://downwiththesickness.com/images/[xxxxx]/web.php http://dorelvis.com/images/[xxxxx]/web.php http://doelker-torbau.de/images/[xxxxx]/web.php http://directeenhuis.nl/images/[xxxxx]/web.php http://dggraphicsonline.com/images/[xxxxx]/web.php http://essonline.us/images/[xxxxx]/web.php http://creacionesartisticasandaluzas.com/bovedas/[xxxxx]/web.php http://cptna.com/2/[xxxxx]/web.php
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo