Bagle.CO

BAGLE.CO destructivo gusano de Correo se inserta al Explorer.exe termina procesos impide acceso a webs, etc.

W32/Bagle.CO@mm, I.worm.bagle.CO@mm

Bagle.CO es un destructivo gusano residente en memoria reportado el 04 de Noviembre del 2005, que ingresa a través de mensajes de correo con un Asunto en blanco, Contenidos y archivos Anexados aleatorios con con extensión .ZIP

Al desempaquetarse infecta los sistemas con otra variante de la familia Bagle.

Termina los procesos de antivirus, firewalls y software de control. Se inserta en el archivo Explorer.exe para interceptar determinadas llamadas al sistema e impedir la ejecución de herramientas de seguridad.

Posee su propio SMTP (Simple Mail Transfer Protocol) se envía a las direcciones de correo de la Libreta de Direcciones de Windows (WAB).

El mensaje tiene las siguientes características:

Remitente: una de las direcciones extraídas del sistema o falsas usando la técnica Spoofing.
Asunto: [vacío]
Contenido, uno de los siguientes:

texte
info
Password:
The password is

Anexado, uno de los siguientes:

Business.zip
Business_dealing.zip
Health_and_knowledge.zip
Info_prices.zip
max.zip
sms_text.zip
text_sms.zip
The_new_prices.zip

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ de extensión de 18.5KB y comprimido con el utilitario comprimido con el utilitario PeX:

http://xtreeme.prv.pl

Al ingresar a un sistema el archivo .ZIP se desempaqueta y copia a la carpeta %System% como:

%System%\antiav_dll.dll
%System%\antiav_exe.exe

y para activarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "auto__antiav__key " = "%System%\antiav_exe.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "auto__antiav__key " = "%System%\antiav_exe.exe" Al siguiente inicio del equipo inserta el archivo antiav_dll.dll dentro del Explorer.exe para interceptar determinadas llamadas al sistema e impedir la ejecución de herramientas de seguridad. luego termina cualquiera de los siguientes procesos que estuviesen en ejecución: ASHAVAST.EXE ASHDISP.EXE ASHENHCD.EXE ASHPOPWZ.EXE ASHSHA64.DLL ASHSIMPL.EXE ASHSKPCK.EXE ASHWEBSV.EXE AUPDATE.EXE AVCONSOL.EXE AVGCC.EXE AVGCMSG.DLL AVGEMC.EXE AVGNT.EXE AVSCHED32.DLL AVSCHED32.EXE AVSYNMGR.EXE AVWUPD32.EXE BCGCB59.DLL BDMCON.EXE BDNEWS.EXE BDSUBMIT.EXE BDSWITCH.EXE CAFIX.EXE CCAPP.EXE CCEVTMGR.EXE CCL30.DLL CCSETMGR.EXE CCVRTRST.DLL CLAMTRAY.EXE CLAMWIN.EXE CMGRDIAN.EXE D2HTLS32.DLL DRWADINS.EXE DRWEB32W.EXE DRWEBSCD.EXE DRWEBUPW.EXE FFJMPWEB.DLL FRESHCLAM.EXE GUARDEVT.DLL GUARDGUI.EXE GUARDMSG.DLL GUARDNT.EXE IKSYST32.DLL INETUPD.EXE INOCIT.EXE INOOEM.DLL INOOPTION.DLL INOUPTNG.EXE ISAFE.EXE KAV.EXE KAVMM.EXE KAVPF.EXE LUALL.EXE LUINSDLL.DLL LUUPDATE.EXE MCSHIELD.EXE NAVAPSVC.EXE NOD32.EXE NOD32API.DLL NOD32KUI.EXE NPFMNTOR.EXE NPFMSG.EXE NVCCF0D.DLL NVCEVLOG.DLL NVCOD.EXE NVCTE.EXE NVCUT.EXE OCONNDLG.DLL OCOOKDLG.DLL OUTPOST.EXE PCCGUIDE.EXE PCCTLCOM.EXE PYTHON23.DLL QHPF.EXE REALMON.EXE REGEDIT.EXE REGEDT32.EXE RULAUNCH.EXE SCHFACE.DLL SNDSRVC.EXE SPBBCSVC.EXE SPIDERML.EXE SYMLCSVC.EXE T2W32.DLL TMNTSRV.EXE TMPFW.EXE TMPROXY.EXE UP2DATE.EXE UPGREPL.EXE VBA32IFS.EXE VBA32LDR.EXE VBA32PP3.EXE VBAIFPS.DLL VETREDIR.DLL VSHWIN32.EXE VSSTAT.EXE VSVAULT.DLL XT1922.DLL VBA32ECM.EXE ZATUTOR.EXE ZLAVSCAN.DLL ZLCLIENT.EXE ZONEALARM.EXEintenta además terminar los procesos que tengan las siguientes palabras claves: Ahnlab task Scheduler alerter AlertManger AntiVir Service aswUpdSv Ati HotKey Poller avast! Antivirus AVEService AVExch32Service avg7alrt avg7updsvc AvgCore AvgFsh AvgServ AVIRAMailService AVIRAService avpcc AVUPDService AVWUpSrv AvxIni awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 bdss BlackICE CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe DefWatch dvpapi dvpinit F-Secure Gatekeeper Handler Starter fsbwsys fsdfwd FSMA Guard NT InoRpc InoRT InoTask KAVMonitorService kavsvc KLBLMain McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte MonSvcNT navapsvc Network Associates Log Service nipsvc NISSERV NISUM NOD32ControlCenter NOD32Service Norman NJeeves Norman Type-R Norman ZANDA Norton Antivirus Server NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR Pavkre PavProt PavPrSrv PAVSRV PCCPFW PersFW PREVSRV PSIMSVC ravmon8 SAVFMSE SAVScan SBService schscnt SharedAccess SmcService SNDSrvc SPBBCSvc SpiderNT SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc Vba32ECM Vba32ifs Vba32Ldr Vba32PP3 VexiraAntivirus VisNetic AntiVirus Plug-in vsmon vsserv wuauserv para desestabilizar la operatividad del sistema, en caso de existir, borra las siguientes llaves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SymantecNetDriver Monitor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client HKEY_CURRENT_USER\Software\Agnitum HKEY_CURRENT_USER\Software\KasperskyLab HKEY_CURRENT_USER\Software\McAfee HKEY_CURRENT_USER\Software\Panda Software HKEY_CURRENT_USER\Software\Symantec HKEY_CURRENT_USER\Software\Trend Micro HKEY_CURRENT_USER\Software\Zone Labs finalmente modifica el archivo HOSTS en la ruta %System%\drivers\etc\hosts para impedir el acceso a las siguientes direcciones: 193.69.114.12 212.113.20.69 213.219.245.4 213.248.60.121 216.200.68.152 62.146.66.181 63.210.193.12 84.53.142.22 84.53.142.6 ad.doubleclick.net ad.fastclick.net ads.fastclick.net antivir.de anti-virus.by ar.atwola.com atdmt.com avast.com avira.com avp.ch avp.ch avp.com avp.com avp.ru avp.ru awaps.net awaps.net banner.fastclick.net banners.fastclick.net bitdefender.com bitdefender.ru ca.com ca.com ca.com ca.com ca.com ca.com ca.com ca.com ca.com ca.com clamav.net clamwin.com click.atdmt.com clicks.atdmt.com customer.symantec.com database.clamav.net dispatch.mcafee.com download.ikarus.at download.mcafee.com download.microsoft.com download25.avast.com downloadhosting.core.ignum.cz downloads.avira.com downloads.microsoft.com downloads1.kaspersky-labs.com downloads2.kaspersky-labs.com downloads3.kaspersky-labs.com downloads4.kaspersky-labs.com downloads-eu1.kaspersky-labs.com downloads-us1.kaspersky-labs.com downloads-us2.kaspersky-labs.com downloads-us3.kaspersky-labs.com drweb.com drweb.com drweb.ru engine.awaps.net esetsoftware.com fastclick.net fastclick.net files.referats.net f-secure.com f-secure.com ftp.avp.ch ftp.downloads2.kaspersky-labs.com ftp.f-secure.com ftp.kasperskylab.ru ftp.sophos.com ftpav.ca.com ftpav.ca.com gin.ba.euroweb.sk go.microsoft.com grisoft.com hbedv.com ids.kaspersky-labs.com ikarus-software.at kaspersky.com kaspersky.com kaspersky.ru kaspersky-labs.com kaspersky-labs.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com msk4.drweb.com my-etrust.com my-etrust.com nai.com nai.com networkassociates.com networkassociates.com niutwo.norman.no office.microsoft.com open.by pandasoftware.com phx.corporate-ir.net rads.mcafee.com ravantivirus.com report.bitdefender.com rs02.avast.com rs03.avast.com rs06.avast.com rs07.avast.com rs08.avast.com rs10.avast.com rs11.avast.com rs18.avast.com rs18.avast.com rs20.avast.com rs24.avast.com secure.nai.com securityresponse.symantec.com service1.symantec.com service1.symantec.com sm01.avast.com sm04.avast.com sm05.avast.com sm09.avast.com sm12.avast.com sm13.avast.com sm14.avast.com sm15.avast.com sm16.avast.com sm17.avast.com sm19.avast.com sm21.avast.com sm22.avast.com sm23.avast.com sm25.avast.com sophos.com sophos.com spd.atdmt.com support.microsoft.com symantec.com symantec.com trendmicro.com trendmicro.com update.symantec.com update.symantec.com updates.symantec.com updates1.kaspersky-labs.com updates2.kaspersky-labs.com updates3.kaspersky-labs.com updates4.kaspersky-labs.com updates5.kaspersky-labs.com upgrade.bitdefender.com upgrade.bitdefender.com us.mcafee.com vba32.de vil.nai.com viruslist.com viruslist.com viruslist.ru viruslist.ru windowsupdate.microsoft.com www.antivir.de www.anti-virus.by www.avast.com www.avira.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.bitdefender.com www.bitdefender.ru www.ca.com www.ca.com www.clamav.net www.clamwin.com www.drweb.com www.drweb.com www.fastclick.net www.f-secure.com www.grisoft.com www.hacksoft.com.pe www.hbedv.com www.kaspersky.com www.kaspersky.ru www.kaspersky-labs.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.open.by www.pandasoftware.com www.ravantivirus.com www.sophos.com www.symantec.com www.trendmicro.com www.vba32.de www.viruslist.com www.viruslist.ru www2.eset.com www3.ca.com www3.ca.com zak.avira.com PER ANTIVIRUS® versión 9.5 con registro de virus al 04 de Noviembre del 2005 detecta y elimina eficientemente este gusano.