Toj/Bagle.AA

TROJ/BAGLE.AA destructivo troyano termina deshabilita procesos servicios borra registros modifica el HOSTS.

Troj/Bagle.AA, Troj/Bagle.DI-R, Troj/Tooso.K

Troj/Bagle.AA es un destructivo troyano residente en memoria reportado el 09 de Agosto del 2005, que ingresa furtivamente a los sistemas a través de cualquier servicio de Internet con un archivo de nombre Winshost.exe o aleatoriamente en mensajes de correo con un archivo en formato .ZIP

Sobre-escribe el archivo Explorer.exe con un código maligno, deshabilita o termina servicios y procesos, borra llaves y sub-llaves de registro, modifica el HOSTS e intenta descargar un archivo desde una extensa relación de direcciones en la web.

Al ejecutarse en memoria abre el mspaint.exe en forma inocua.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 36 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema el archivo .ZIP se desempaqueta y ejecuta el archivo foto_bs363.exe, el cual activa el el MS Paint:

luego se copia a la carpeta %System% con el nombre de Winshost.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "winshost.exe" = "%System%\winshost.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "winshost.exe" = "%System%\winshost.exe" libera y copia a la carpeta %System% el archivo wiwshost.exe el cual sobre-escribe en el explorer.exe para que cualquier acción del archivo infectado simule ser ejecutada por el archivo explorer.exe. para deshabilitar el Acceso Compartido en Windows 2000/XP agrega la sub-llave: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start" = "4" para deshabilitar las Actualizaciones automáticas agrega la sub-llave: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Start" = "4" para deshabilitar el Alerter agrega la sub-llave: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter] "Start" = "4" El Alerter es un servicio de notificación de alertas administrativas asociado al svchost.exe que notifica la ejecución de APIs a los usuarios o estaciones de trabajo. %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. al siguiente inicio el troyano termina los siguientes procesos que estuviesen activados: AVExch32Service AVPCC AVUPDService Ahnlab task Scheduler AlertManger AvgCore AvgFsh AvgServ AvxIni BackWeb Client - 7681197 BlackICE CAISafe DefWatch F-Secure Gatekeeper Handler Starter FSDFWD FSMA KAVMonitorService KLBLMain MCVSRte McAfee Firewall McAfeeFramework McShield McTaskManager MonSvcNT NISSERV NISUM NOD32ControlCenter NOD32Service NPFMntor NProtectService NSCTOP NVCScheduler NWService Network Associates Log Service Norman NJeeves Norman ZANDA Norton Antivirus Server Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR PAVSRV PCCPFW PREVSRV PSIMSVC PavPrSrv PavProt Pavkre PersFW SAVFMSE SAVScan SBService SNDSrvc SPBBCSvc SWEEPSRV.SYS SharedAccess SmcService SweepNet Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc VexiraAntivirus VisNetic AntiVirus Plug-in XCOMM alerter avg7alrt avg7updsvc avpcc awhost32 backweb client - 4476822 backweb client-4476822 ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe dvpapi dvpinit fsbwsys fsdfwd kavsvc mcupdmgr.exe navapsvc nvcoas nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth ravmon8 schscnt sharedaccess vsmon wuauserv

luego borra, de existir, las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Symantec NetDriver Monitor" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ccApp" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"NAV CfgWiz" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SSC_UserPrompt" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"McAfee Guardian" HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"McAfee.InstantUpdate.Monitor" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"APVXDWIN" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"KAV50" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"avg7_cc" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"avg7_emc" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Zone Labs Client"

borra, de existir, las siguientes llaves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec HKEY_LOCAL_MACHINE\SOFTWARE\McAfee HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software HKEY_LOCAL_MACHINE\SOFTWARE\Zone LabsRevisa todas las unidades de disco y en caso de hallarlos, borra los siguientes archivos:

AUPD1ATE.EXE
AUPDATE.EXE
Av1synmgr.exe
Avc1onsol.exe
Avconsol.exe
Avsynmgr.exe
C1CSETMGR.EXE
CC1EVTMGR.EXE
CCEVTMGR.EXE
CCSETMGR.EXE
CM1Grdian.exe
CMGrdian.exe
K2A2V.exe
KAV.exe
LUAL1L.EXE
LUALL.EXE
LUI1NSDLL.DLL
LUINSDLL.DLL
Luup1date.exe
Luupdate.exe
Mcsh1ield.exe
Mcshield.exe
NAV1APSVC.EXE
NAVAPSVC.EXE
NPFM1NTOR.EXE
NPFMNTOR.EXE
RuLa1unch.exe
RuLaunch.exe
SND1Srvc.exe
SNDSrvc.exe
SP1BBCSvc.exe
SPBBCSvc.exe
Up222Date.exe
Up2Date.exe
Vs1Stat.exe
VsStat.exe
Vshw1in32.exe
Vshwin32.exe
a5v.dll
av.dll
avg23emc.exe
avgc3c.exe
avgcc.exe
avgemc.exe
c6a5fix.exe
cafix.exe
cc1l30.dll
ccA1pp.exe
ccApp.exe
ccl30.dll
ccv1rtrst.dll
ccvrtrst.dll
is5a6fe.exe
isafe.exe
kav12mm.exe
kavmm.exe
outp1ost.exe
outpost.exe
s1ymlcsvc.exe
symlcsvc.exe
ve6tre5dir.dll
vetredir.dll
vs6va5ult.dll
vsvault.dll
zatu6tor.exe
zatutor.exe
zl5avscan.dll
zlavscan.dll
zlcli6ent.exe
zlclient.exe
zo3nealarm.exe
zonealarm.exe

deshabilita los servicios: SharedAccess wscsvc termina los procesos asociados a los siguientes archivos: ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVPUPD.ExE AVWUPD32.EXE AVXQUAR.EXE CFIAUDIT.EXE DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE MCUPDATE.EXE NUPGRADE.EXE OUTPOST.ExE UPDATE.Exe UPGRADER.EXE Sobre-escribe el archivo HOSTS con la dirección 127.0.0.1 localhost e intenta descargar un archivo de nombre osa4.gif, de una extensa relación de direcciones web. Actualmente el archivo no está disponible. PER ANTIVIRUS® versión 9.4 con registro de virus al 09 de Agosto del 2005 detecta y elimina eficientemente este troyano.