Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/bagle.ex

w32/bagle.ex

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/bagle.ex

email-worm.win32.bagle.ex, bagle.ey, w32/bagle-ax, worm_bagle.cd, w32.beagle.cx@mm
tipo: gusano
tama?o: 20,139 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 15/12/2005.
w32/bagle.ex@mm, es un gusano que se difunde a trav?s de envi? masivos de e-mail utilizando su propio motor smtp, env?a una copia del troyano trojan/bagle.g
caracter?sticas del mensaje de email:
asunto: [variable, cualquiera de las siguientes]
new years new years day. happy new year we congratulate happy new year new 2006 cuerpo: [alguno de los siguientes]
the password is [enlace con un archivo de imagen] password: [enlace con un archivo de imagen] archivo adjunto: [variable, uno de los siguientes]
ales.zip alice.zip alyce.zip andrew.zip androw.zip androwe.zip ann.zip anna.zip anne.zip annes.zip anthonie.zip anthony.zip anthonye.zip avice.zip avis.zip bennet.zip bennett.zip christean.zip christian.zip constance.zip cybil.zip daniel.zip danyell.zip dorithie.zip dorothee.zip dorothy.zip edmond.zip edmonde.zip edmund.zip edward.zip edwarde.zip elizabeth.zip elizabethe.zip ellen.zip ellyn.zip emanual.zip emanuel.zip emanuell.zip ester.zip frances.zip francis.zip fraunces.zip gabriell.zip geoffraie.zip george.zip grace.zip harry.zip harrye.zip henrie.zip henry.zip henrye.zip hughe.zip humphrey.zip humphrie.zip isabel.zip isabell.zip james.zip jane.zip jeames.zip jeffrey.zip jeffrye.zip joane.zip johen.zip john.zip josias.zip judeth.zip judith.zip judithe.zip katherine.zip katheryne.zip leonard.zip leonarde.zip margaret.zip margarett.zip margerie.zip margerye.zip margret.zip margrett.zip marie.zip martha.zip mary.zip marye.zip michael.zip mychaell.zip nathaniel.zip nathaniell.zip nathanyell.zip nicholas.zip nicholaus.zip nycholas.zip peter.zip ralph.zip rebecka.zip richard.zip richarde.zip robert.zip roberte.zip roger.zip rose.zip rycharde.zip samuell.zip sara.zip sidney.zip sindony.zip stephen.zip susan.zip susanna.zip suzanna.zip sybell.zip sybyll.zip syndony.zip thomas.zip valentyne.zip william.zip winifred.zip wynefrede.zip wynefreed.zip wynnefreede.zip -----------------------
cuando el gusano se ejecuta se copia a si mismo como:
system \wind2ll2.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
seguidamente crea varios mutex, los cuales aseguran que solo una instancia del gusano se ejecute y previenen que variantes del netsky se ejecuten en el computador atacado
muxxxxtenyksdesignedasthefollowerofskynet-d droppedskynet _-ooaxx|-+s+-+k+-+y+-+n+-+e+-+t+-|xxkoo-_ [skynet.cz]systemsmutex admskynetjkls003 ____--->>>>u<<<<--____ _-oo]xx|-s-k-y-n-e-t-|xx[oo-_ adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\ru1n
erfgddfk= system \wind2ll2.exe
hkey_local_machine\software\microsoft\windows\currentversion\ru1n
erfgddfk= system \wind2ll2.exe
el gusano baja los niveles de seguridad en el computador atacado, de esta manera intenta deshabilitar programas antivirus y de seguridad, el gusano intentara eliminar las siguientes entradas en el registro para lograrlo.
hkey_local_machine\software\microsoft\windows\currentversion\ru1n\my av hkey_local_machine\software\microsoft\windows\currentversion\ru1n\zone labs client ex hkey_local_machine\software\microsoft\windows\currentversion\ru1n\9xhtprotect hkey_local_machine\software\microsoft\windows\currentversion\ru1n\antivirus hkey_local_machine\software\microsoft\windows\currentversion\ru1n\special firewall service hkey_local_machine\software\microsoft\windows\currentversion\ru1n\service hkey_local_machine\software\microsoft\windows\currentversion\ru1n\tiny av hkey_local_machine\software\microsoft\windows\currentversion\ru1n\icqnet hkey_local_machine\software\microsoft\windows\currentversion\ru1n\htprotect hkey_local_machine\software\microsoft\windows\currentversion\ru1n\netdy hkey_local_machine\software\microsoft\windows\currentversion\ru1n\jammer2nd hkey_local_machine\software\microsoft\windows\currentversion\ru1n\firewallsvr hkey_local_machine\software\microsoft\windows\currentversion\ru1n\msinfo hkey_local_machine\software\microsoft\windows\currentversion\ru1n\sysmonxp hkey_local_machine\software\microsoft\windows\currentversion\ru1n\easyav key_local_machine\software\microsoft\windows\currentversion\ru1n\pandaavengine hkey_local_machine\software\microsoft\windows\currentversion\ru1n\norton antivirus av hkey_local_machine\software\microsoft\windows\currentversion\ru1n\kasperskyaveng hkey_local_machine\software\microsoft\windows\currentversion\ru1n\skynetsrevenge hkey_local_machine\software\microsoft\windows\currentversion\ru1n\icq net hkey_current_user\software\microsoft\windows\currentversion\ru1n\my av hkey_current_user\software\microsoft\windows\currentversion\ru1n\zone labs client ex hkey_current_user\software\microsoft\windows\currentversion\ru1n\9xhtprotect hkey_current_user\software\microsoft\windows\currentversion\ru1n\antivirus hkey_current_user\software\microsoft\windows\currentversion\ru1n\special firewall service hkey_current_user\software\microsoft\windows\currentversion\ru1n\service hkey_current_user\software\microsoft\windows\currentversion\ru1n\tiny av hkey_current_user\software\microsoft\windows\currentversion\ru1n\icqnet hkey_current_user\software\microsoft\windows\currentversion\ru1n\htprotect hkey_current_user\software\microsoft\windows\currentversion\ru1n\netdy hkey_current_user\software\microsoft\windows\currentversion\ru1n\jammer2nd hkey_current_user\software\microsoft\windows\currentversion\ru1n\firewallsvr hkey_current_user\software\microsoft\windows\currentversion\ru1n\msinfo hkey_current_user\software\microsoft\windows\currentversion\ru1n\sysmonxp hkey_current_user\software\microsoft\windows\currentversion\ru1n\easyav hkey_current_user\software\microsoft\windows\currentversion\ru1n\pandaavengine hkey_current_user\software\microsoft\windows\currentversion\ru1n\norton antivirus av hkey_current_user\software\microsoft\windows\currentversion\ru1n\kasperskyaveng hkey_current_user\software\microsoft\windows\currentversion\ru1n\skynetsrevenge hkey_current_user\software\microsoft\windows\currentversion\ru1n\icq net tambi?n abre el puerto tcp 80 para utilizar al computador atacado como un servidor proxy
finalmente intentar? conectarse a determinados sitios web, si logra conectarse descargara el archivo eml.exe dentro de la carpeta windows
http://localhost/[removido]/sss.php http://localhost/[removido]/script2.php http://localhost/[removido]/script3.php http://clickhare.com/[removido]/images/w3eb.php http://amerikansk-bulldog.dk/[removido]/images/w3eb.php http://eventpeopleforyou.com/[removido]/help/w3eb.php http://ekshrine.com/[removido]/images/w3eb.php http://www.familia-sanchez.net/[removido]/images/w3eb.php http://www.asymchem.com/[removido]/images/w3eb.php http://www.baku-xeber.com/[removido]/images/w3eb.php http://www.abmedical.pl/[removido]/images/w3eb.php http://www.cellphonemadeinchina.com/[removido]/images/w3eb.php
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo