w32/bagle.df

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/bagle.df

trojan.tooso.q,
tipo: gusano
tama?o: 35,471 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8, registro de virus al 20/09/2005.
w32/bagle.df@mm, gusano que se difunde a trav?s de envi? masivos de e-mail, llega dentro de un archivo .zip, el cual puede contener alguno de los siguientes archivos:
09_price.exe 20_price.exe 20_09.exe cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
system \winshost.exe system \wiwshost.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\run
winshost.exe= system \winshost.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
winshost.exe= system \winshost.exe
crea la siguiente entrada como marca de su infecci?n:
hkey_current_user\software\firstrun
firstrunrr=1
hkey_users\.default\software\firstrun
firstrunrr=1
el gusano baja los niveles de seguridad en el computador atacado, de esta manera intenta deshabilitar programas antivirus y de seguridad, el gusano intentara eliminar las siguientes entradas en el registro para lograrlo.
hkey_local_machine\software\microsoft\windows\currentversion\run \symantec netdriver monitor hkey_local_machine\software\microsoft\windows\currentversion\run \ccapp hkey_local_machine\software\microsoft\windows\currentversion\run \nav cfgwiz hkey_local_machine\software\microsoft\windows\currentversion\run \ssc_userprompt hkey_local_machine\software\microsoft\windows\currentversion\run \mcafee guardian hkey_current_user\software\microsoft\windows\currentversion\run \mcafee.instantupdate.monitor hkey_local_machine\software\microsoft\windows\currentversion\run \apvxdwin hkey_local_machine\software\microsoft\windows\currentversion\run \kav50 hkey_local_machine\software\microsoft\windows\currentversion\run \avg7_cc hkey_local_machine\software\microsoft\windows\currentversion\run \avg7_emc hkey_local_machine\software\microsoft\windows\currentversion\run \zone labs client hkey_local_machine\software\symantec hkey_local_machine\software\mcafee hkey_local_machine\software\kasperskylab hkey_local_machine\software\agnitum hkey_local_machine\software\panda software hkey_local_machine\software\zone labs finalmente el troyano realiza las siguientes acciones:
1.- finaliza los siguientes procesos relacionados a programas de seguridad y antivirus.
atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avpupd.exe avwupd32.exe avxquar.exe cfiaudit.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe icssuppnt.exe icsupp95.exe luall.exe mcupdate.exe nupgrade.exe outpost.exe update.exe upgrader.exe 2.- detiene los siguientes servicios:
ahnlab task scheduler alerter alertmanger avexch32service avg7alrt avg7updsvc avgcore avgfsh avgserv avpcc avupdservice avxini awhost32 backweb client - 4476822 backweb client - 7681197 backweb client-4476822 blackice caisafe ccevtmgr ccpwdsvc ccsetmgr ccsetmgr.exe defwatch dvpapi dvpinit fsbwsys fsdfwd f-secure gatekeeper handler starter kavmonitorservice kavsvc klblmain mcafee firewall mcafeeframework mcshield mctaskmanager mcupdmgr.exe mcvsrte monsvcnt navapsvc network associates log service nisserv nisum nod32controlcenter nod32service norman njeeves norman zanda norton antivirus server npfmntor nprotectservice nsctop nvcoas nvcscheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth nwservice outbreak manager outpost firewall outpostfirewall passrv pavfnsvr pavkre pavprot pavprsrv pavsrv pccpfw persfw prevsrv psimsvc ravmon8 savfmse savscan sbservice schscnt sharedaccess smcservice sndsrvc spbbcsvc sweepnet sweepsrv.sys symantec antivirus client symantec core lc tmntsrv v3monnt v3monsvc vexiraantivirus visnetic antivirus plug-in vsmon wuauserv xcomm 3.- intenta descargar archivos desde los siguientes sitios web:
http://www.yannick-spruyt.be/[xxxxx]/osa6.gif http://www.yayadownload.com/[xxxxx]/osa6.gif http://www.yesterdays.co.za/[xxxxx]/osa6.gif http://www.yesterdays.co.za/[xxxxx]/osa6.gif http://www.yshkj.com/[xxxxx]/osa6.gif http://www.yshkj.com/[xxxxx]/osa6.gif http://www.zakazcd.dp.ua/[xxxxx]/osa6.gif http://www.students.stir.ac.uk/[xxxxx]/osa6.gif http://www.zenesoftware.com/[xxxxx]/osa6.gif http://www.zentek.co.za/[xxxxx]/osa6.gif http://www.czzm.com/[xxxxx]/osa6.gif http://www.izoli.sk/[xxxxx]/osa6.gif http://www.zorbas.az/[xxxxx]/osa6.gif http://www.zsbersala.edu.sk/[xxxxx]/osa6.gif http://www.triptonic.ch/[xxxxx]/osa6.gif http://www.tv-marina.com/[xxxxx]/osa6.gif http://www.travelourway.com/[xxxxx]/osa6.gif http://www.megaserve.net/[xxxxx]/osa6.gif http://www.trgd.dobrcz.pl/[xxxxx]/osa6.gif http://www.mild.at/[xxxxx]/osa6.gif http://www.mild.at/[xxxxx]/osa6.gif http://www.kingsley.ch/[xxxxx]/osa6.gif http://www.mild.at/[xxxxx]/osa6.gif http://www.elvis-presley.ch/[xxxxx]/osa6.gif http://www.gomyhome.com.tw/[xxxxx]/osa6.gif http://www.ider.cl/[xxxxx]/osa6.gif http://www.ascolfibras.com/[xxxxx]/osa6.gif http://www.on24.ee/[xxxxx]/osa6.gif http://www.xojc.com/[xxxxx]/osa6.gif http://www.x-treme.cz/[xxxxx]/osa6.gif http://www.gymzn.cz/[xxxxx]/osa6.gif http://www.gymzn.cz/[xxxxx]/osa6.gif http://www.gymzn.cz/[xxxxx]/osa6.gif http://www.xiantong.net/[xxxxx]/osa6.gif http://www.xmpie.com/[xxxxx]/osa6.gif http://www.xmpie.com/[xxxxx]/osa6.gif http://www.xmtd.com/[xxxxx]/osa6.gif http://www.onlink.net/[xxxxx]/osa6.gif http://www.discoteka-funfactory.com/[xxxxx]/osa6.gif http://www.toussain.be/[xxxxx]/osa6.gif http://www.idcs.be/[xxxxx]/osa6.gif http://www.gepeters.org/[xxxxx]/osa6.gif http://www.angham.de/[xxxxx]/osa6.gif http://www.idaf.de/[xxxxx]/osa6.gif http://www.bolz.at/[xxxxx]/osa6.gif http://www.societaet.de/[xxxxx]/osa6.gif http://www.ppm-alliance.de/[xxxxx]/osa6.gif http://www.udc-cassinadepecchi.it/[xxxxx]/osa6.gif http://www.universe.sk/[xxxxx]/osa6.gif http://www.jingjuok.com/[xxxxx]/osa6.gif http://www.gemtrox.com.tw/[xxxxx]/osa6.gif http://www.uspowerchair.com/[xxxxx]/osa6.gif http://www.steripharm.com/[xxxxx]/osa6.gif http://www.beall-cpa.com/[xxxxx]/osa6.gif http://www.jcm-american.com/[xxxxx]/osa6.gif http://www.vercruyssenelektro.be/[xxxxx]/osa6.gif http://www.centrovestecasa.it/[xxxxx]/osa6.gif http://www.vet24h.com/[xxxxx]/osa6.gif http://www.vinimeloni.com/[xxxxx]/osa6.gif http://www.vnrvjiet.ac.in/[xxxxx]/osa6.gif http://www.vote2fateh.com/[xxxxx]/osa6.gif http://www.marketvw.com/[xxxxx]/osa6.gif http://www.formholz.at/[xxxxx]/osa6.gif http://www.checkonemedia.nl/[xxxxx]/osa6.gif http://www.fotomax.fi/[xxxxx]/osa6.gif http://www.vw.press-bank.pl/[xxxxx]/osa6.gif http://www.wamba.asn.au/[xxxxx]/osa6.gif http://www.cz-wanjia.com/[xxxxx]/osa6.gif http://www.czwanqing.com/[xxxxx]/osa6.gif http://www.wdlp.co.za/[xxxxx]/osa6.gif http://www.automobilonline.de/[xxxxx]/osa6.gif http://www.bangyan.cn/[xxxxx]/osa6.gif http://www.21ebuild.com/[xxxxx]/osa6.gif http://www.eagle.com.cn/[xxxxx]/osa6.gif http://www.eagleclub.com.cn/[xxxxx]/osa6.gif http://www.eagleclub.com.cn/[xxxxx]/osa6.gif http://www.sanjinyuan.com/[xxxxx]/osa6.gif http://www.designgong.org/[xxxxx]/osa6.gif http://www.fermegaroy.com/[xxxxx]/osa6.gif http://www.welchcorp.com/[xxxxx]/osa6.gif http://www.snsphoto.com/[xxxxx]/osa6.gif http://www.soeco.org/[xxxxx]/osa6.gif http://www.softmajor.ru/[xxxxx]/osa6.gif http://www.solt3.org/[xxxxx]/osa6.gif http://www.sqnsolutions.com/[xxxxx]/osa6.gif http://www.spacium.biz/[xxxxx]/osa6.gif http://www.speedcom.home.pl/[xxxxx]/osa6.gif http://www.trago.com.pt/[xxxxx]/osa6.gif http://www.spirit-in-steel.at/[xxxxx]/osa6.gif http://www.spy.az/[xxxxx]/osa6.gif http://www.st-paulus-bonn.dehtdocs/[xxxxx]/osa6.gif http://www.stbs.com.hk/[xxxxx]/osa6.gif http://www.acsohio.com/[xxxxx]/osa6.gif http://www.olva.com.pe/[xxxxx]/osa6.gif http://www.subsplanet.com/[xxxxx]/osa6.gif http://www.sungodbio.com/[xxxxx]/osa6.gif http://www.superbetcs.com/[xxxxx]/osa6.gif http://www.vnn.vn/[xxxxx]/osa6.gif http://www.sydolo.com/[xxxxx]/osa6.gif http://www.szdiheng.com/[xxxxx]/osa6.gif http://www.agria.hu/[xxxxx]/osa6.gif http://www.externet.hu/[xxxxx]/osa6.gif http://www.hondenservice.be/[xxxxx]/osa6.gif http://www.ehc.hu/[xxxxx]/osa6.gif http://www.tcicampus.net/[xxxxx]/osa6.gif http://www.contentproject.com/[xxxxx]/osa6.gif http://www.festivalteatrooccidente.com/[xxxxx]/osa6.gif http://www.techni.com.cn/[xxxxx]/osa6.gif http://www.festivalteatrooccidente.com/[xxxxx]/osa6.gif http://www.thaifast.com/[xxxxx]/osa6.gif http://www.thaiventure.com/[xxxxx]/osa6.gif http://www.andi.com.vn/[xxxxx]/osa6.gif http://www.replayu.com/[xxxxx]/osa6.gif http://www.th-mutan.com/[xxxxx]/osa6.gif http://www.thetexasoutfitter.com/[xxxxx]/osa6.gif http://www.tmhcsd1987.friko.pl/[xxxxx]/osa6.gif http://www.thenextstep.tv/[xxxxx]/osa6.gif http://www.thenextstep.tv/[xxxxx]/osa6.gif http://www.wesartproductions.com/[xxxxx]/osa6.gif http://www.wilsonscountry.com/[xxxxx]/osa6.gif http://www.windstar.pl/[xxxxx]/osa6.gif http://www.wise-industries.com/[xxxxx]/osa6.gif http://www.witold.pl/[xxxxx]/osa6.gif http://www.witold.pl/[xxxxx]/osa6.gif http://www.51.net/[xxxxx]/osa6.gif http://www.slovanet.sk/[xxxxx]/osa6.gif http://www.wombband.com/[xxxxx]/osa6.gif http://www.datanet.huwww.datanet.hu/[xxxxx]/osa6.gif http://www.uw.hu/[xxxxx]/osa6.gif http://www.dgy.com.cn/[xxxxx]/osa6.gif http://www.bs-security.de/[xxxxx]/osa6.gif http://www.die-fliesen.de/[xxxxx]/osa6.gif http://www.dom-invest.com.pl/[xxxxx]/osa6.gif http://www.engelhardtgmbh.de/[xxxxx]/osa6.gif http://www.triapex.cz/[xxxxx]/osa6.gif http://www.fahrschule-herb.de/[xxxxx]/osa6.gif http://www.fahrschule-lesser.de/[xxxxx]/osa6.gif http://www.gimex-messzeuge.de/[xxxxx]/osa6.gif http://www.inside-tgweb.de/[xxxxx]/osa6.gif http://www.jue-bo.com/[xxxxx]/osa6.gif http://www.niko.de/[xxxxx]/osa6.gif http://www.nikogmbh.com/[xxxxx]/osa6.gif http://www.renegaderc.com/[xxxxx]/osa6.gif http://www.sachsenbuecher.de/[xxxxx]/osa6.gif http://www.scvanravenswaaij.nl/[xxxxx]/osa6.gif http://www.spoden.de/[xxxxx]/osa6.gif http://www.sportnf.com/[xxxxx]/osa6.gif http://www.sweb.cz/[xxxxx]/osa6.gif http://www.tg-sandhausen-basketball.de/[xxxxx]/osa6.gif http://www.thefunkiest.com/[xxxxx]/osa6.gif http://www.thefunkiest.com/[xxxxx]/osa6.gif http://www.jeoushinn.com/[xxxxx]/osa6.gif http://www.presley.ch/[xxxxx]/osa6.gif 4.- intenta eliminar todas las instancias de archivos con los siguientes nombres de todas las unidades:
aupdate.exe av.dll avconsol.exe avgcc.exe avgemc.exe avsynmgr.exe cafix.exe ccapp.exe ccevtmgr.exe ccl30.dll ccsetmgr.exe ccvrtrst.dll cmgrdian.exe isafe.exe kav.exe kavmm.exe luall.exe luinsdll.dll luupdate.exe mcshield.exe mysuperprog.exe navapsvc.exe npfmntor.exe outpost.exe rulaunch.exe sndsrvc.exe spbbcsvc.exe symlcsvc.exe up2date.exe vetredir.dll vshwin32.exe vsstat.exe vsvault.dll zatutor.exe zlavscan.dll zlclient.exe zonealarm.exe 5.- sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ y windows , para redireccionar direcciones urls al localhost (127.0.0.1)
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo