|
W32/Bagle.CZ@mm, I.worm.Bagle.CZ@mm, W32/Beagle.CZ@mm
|
Bagle.CZ es un troyano residente en memoria, reportado el 13 de Septiembre del 2005 de propagación masiva a través de mensajes de correo SPAM con diversos archivos aleatorios. Termina procesos de antivirus y otros programas, borra llaves de
registro de antivirus, renombra archivos, los deja inoperativos, intenta descargar un archivo de diversos sitios en la web.
Modifica el HOSTS con el valor 127.0.0.1 localhost para impedir el acceso a cualquier URL. |
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 12 KB y comprimido con el utilitario MEW:
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Spoofing que disfraza las direcciones.
Asunto: cualquier cadena de texto enviada con anterioridad bajo modalidad SPAM.
Contenido: cualquier contenido de texto enviado con anterioridad.
Anexado, uno de los siguientes:
Al ser activado abre una ventana del Notepad para esconder sus rutinas y crea la siguiente llave como marcador para la ejecución del troyano:
[HKEY_CURRENT_USER\Software]
FirstRunFirstRunRR = "dword:00000001"
Luego se copia a la carpeta %System% con el nombre de WINSHOST.EXE y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%System%\winshost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%System%\winshost.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del sistema el archivo anexado contiene una copia del troyano de nombre 1.CPL o PRICE.CPL que libera al directorio %Windir% los archivos infectados:
inmediantamente termina los siguientes procesos de antivirus y software de control:
termina además los procesos que tengan los nombres:
para impedir la ejecución de determinados antivirus, el troyano borra las siguientes llaves, en caso existan:
luego renombra los siguientes archivos:
| Original | Renombrado | |
| AUPDATE.EXE | AUPD1ATE.EXE | |
| av.dll | a5v.dll | |
| Avconsol.exe | Avc1onsol.exe | |
| avgcc.exe | avgc3c.exe | |
| avgemc.exe | avg23emc.exe | |
| Avsynmgr.exe | Av1synmgr.exe | |
| cafix.exe | c6a5fix.exe | |
| ccApp.exe | ccA1pp.exe | |
| CCEVTMGR.EXE | CC1EVTMGR.EXE | |
| ccl30.dll | cc1l30.dll | |
| CCSETMGR.EXE | C1CSETMGR.EXE | |
| ccvrtrst.dll | ccv1rtrst.dll | |
| CMGrdian.exe | CM1Grdian.exe | |
| isafe.exe | is5a6fe.exe | |
| KAV.exe | K2A2V.exe | |
| kavmm.exe | kav12mm.exe | |
| LUALL.EXE | LUAL1L.EXE | |
| LUINSDLL.DLL | LUI1NSDLL.DLL | |
| Luupdate.exe | Luup1date.exe | |
| Mcshield.exe | Mcsh1ield.exe | |
| NAVAPSVC.EXE | NAV1APSVC.EXE | |
| NPFMNTOR.EXE | NPFM1NTOR.EXE | |
| outpost.exe | outp1ost.exe | |
| RuLaunch.exe | RuLa1unch.exe | |
| SNDSrvc.exe | SND1Srvc.exe | |
| SPBBCSvc.exe | SP1BBCSvc.exe | |
| symlcsvc.exe | s1ymlcsvc.exe | |
| Up2Date.exe | Up222Date.exe | |
| vetredir.dll | ve6tre5dir.dll | |
| Vshwin32.exe | Vshw1in32.exe | |
| VsStat.exe | Vs1Stat.exe | |
| vsvault.dll | vs6va5ult.dll | |
| zatutor.exe | zatu6tor.exe | |
| zlavscan.dll | zl5avscan.dll | |
| zlclient.exe | zlcli6ent.exe | |
| zonealarm.exe | zo3nealarm.exe |
los mismos que ya no se ejecutarán correctamente.
intenta descargar de una extensa lista de sitios web el archivo osa5.gif (actualmente eliminado).
Modifica el archivo HOSTS con el valor 127.0.0.1 localhost para impedir el acceso a cualquier URL.
PER ANTIVIRUS® versión 9.4 con registro de virus al 13 de Septiembre del 2005 detecta y elimina este troyano.
