Toj/Bagle.CD

TROJ/BAGLE.CD gusano/troyano MultiSPAM descarga malware de sitios web congestiona el tráfico a Internet, etc.

Troj/Bagle.CD, Trojan.Lodear.E, Troj/BagleDl-AN

Troj/Bagle.CD es un gusano/troyano residente en memoria reportado el 16 de Diciembre del 2005, que ingresa a los sistemas a través de mensajes de correo bajo la modalidad multi SPAM, con un archivo anexado con extensión .ZIP empleando los nombres de usuarios extraídos de los sistemas previamente infectados.

También se han reportados sistemas afectados vía otros servicios de Internet.

Se conecta a diversos sitios web e intenta descargar un archivo con códigos malignos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 9.8 KB y no está encriptado.

Al ingresar a un sistema el archivo .ZIP se desempaqueta y copia a la carpeta %System% con el nombre de Anti-troj.exe liberando el archivo de nombre S3700020.exe.

Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "anti_troj" = "%System%\anti_troj.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "anti_troj" = "%System%\anti_troj.exe" crea también la siguiente sub-llave que emplea como marcador de las infecciones que realice: [HKEY_CURRENT_USER\Software\FirstRRRun] "FirstRRRun" = "dword:00000001" %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. al siguiente inicio del sistema el troyano muestra un gráfico de nombre NTIMAGE.GIF, en forma inocua, para distraer al usuario: inmediatamente activa su rutina de envío masivo de correo a todos los buzones, incluyendo los de la Libreta de Direcciones de Windows, carpeta temporal de Internet Explorer, MS Outlook y los correspondientes a los servicios gratuitos basados en la web. Crea además una carpeta de nombre \exfldr en el directorio %Windir% donde almacenará el archivo a ser descargado. Luego intenta conectarse a una extensa lista de sitios web y direcciones IP a través del puerto TCP 80: 25kadr.org charlies-truckerpage.de template.nease.net s89.tku.edu.tw phrmg.org www.etwas-mode.de www.rewardst.com 757555.ru www.8ingatlan.hu oklens.co.jp www.a2zhostings.com www.abavitis.hu abtechsafety.com acentrum.pl www.adamant-np.ru furdoszoba.info adavenue.net ccooaytomadrid.org abtechsafety.com av2026.comex.ru 80.146.233.41 www.barth.serwery.pl www.leap.co.il virt33.kei.pl www.bmswijndepot.com 209.126.128.203 www.timecontrol.com.pl adoptionscanada.ca 65.108.195.73 tkdami.net www.ubu.pl adventecgroup.com sacafterdark.net agenciaspublicidadinternet.com www.agroturystyka.artneo.pl kepter.kz ahava.cafe24.com mijusungdo.net aibsnlea.org aikidan.com 202.44.52.38 drinkwater.ru ala-bg.net allinfo.com.au eleceltek.com alevibirligi.ch alfaclassic.sk allanconi.it www.americarising.com americasenergyco.com amerykaameryka.com amistra.com analisisyconsultoria.com calamarco.comdesde los cuales intenta descargar un archivo de nombre a.php, el cual contiene códigos malignos y destructivos. Debido a su modalidad de rutinas multi SPAM congestiona el tráfico a Internet en los sistemas afectados. PER ANTIVIRUS® versión 9.5 con registro de virus al 16 de Diciembre del 2005 detecta y elimina eficientemente este gusano/troyano.