|
BAGLE.QU
troyano Rootkit infecta ejecutables dejándolos inutilizables descarga archivos
infectados.
|
|
© Jorge Machado Lima-Perú
|
|
Troj/Bagle.QU
Bagle.QU es un
troyano reportado el 18 de Marzo del 2008 que se propaga a través de servicios de
Internet visitando páginas web con archivos infectados.
Su componente Rootkit
oculta archivos, procesos y entradas de llaves de registro.
Sobre escribe su código viral
en la cabecera de archivos ejecutables, dejándole inutilizables.
Infecta Windows
98/Me/NT/2000/XP y Server
2003, desarrollado en Assembler, con una
extensión de 647,168 Bytes y solo está compilado más no encriptado.
Al ingresar a un sistema crea
una carpeta en la ruta:
y libera los siguientes
archivos en la ruta:
- %System%\drivers\hldrrr.exe
(copia del gusano)
- %System%\drivers\srosa.sys
(componente del gusano)
- %System%\soundman.exe (copia
del gusano)
Para ejecutarse la próxima vez
que se re-incie el sistema crea la llave::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit" =
"%System%\drivers\hldrrr.exe"
Y se registra a sí mismo como
un servicio del sistema, como parte de su rutina de activación, con la
siguiente llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
Nombre Mostrado = "Megadrv3"
IRuta de imagen = "\??\%system%\drivers\srosa.sys"
Start = "1"
Al siguiente inicio del equipo
el gusano crea la llaves:
- [HKEY_CURRENT_USER\Software\FirstRRRun]
First12Ru123n = "1"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
EnableLUA = "0"
Activa su componente Rootkit
que oculta archivos, procesos y entradas de llaves de registro.
Sobre escribe su código viral
en la cabecera de archivos ejecutables, dejándole inutilizables.
Finalmente se conecta los
siguientes URL intentando descargar archivos infectados que corrompen a los
ejecutables:
- http://[Censurado]iaslowa.nazwa.pl/b64_1.jpg
- http://[Censurado]iaslowa.nazwa.pl/b64_2.jpg
- http://[Censurado]iaslowa.nazwa.pl/b64_31.jpg
- http://[Censurado]istobal.com/files3.php
- http://[Censurado]r-group.com/images/blst.php
- http://[Censurado]umiembro.com/files3.php
- http://[Censurado]requency.com.br/files3.php
- http://[Censurado].altervista.org/files3.php
- http://[Censurado]ftaa.com/files3.php
- http://[Censurado]fecenter.com/files3.php
- http://[Censurado]a.com/files3.php
- http://[Censurado]gnstudio.com/files3.php
- http://[Censurado]rogil.es/files3.php
- http://[Censurado]res.com/files3.php
- http://[Censurado]aiello.com.ar/files3.php
- http://[Censurado]ortaltapejara.com/files3.php
- http://[Censurado]linsconvites.com.br/files3.php
- http://[Censurado]oydemocracia.es/files3.php
- http://[Censurado]e.nl/files3.php
- http://[Censurado]omo.com/files3.php
- http://[Censurado]lpicture.com/files3.php
- http://[Censurado]equebec.qc.ca/files3.php
- http://[Censurado]club.com/files3.php
- http://[Censurado]jocelyn.altervista.org/files3.php
- http://[Censurado]oz.com/files3.php
- http://[Censurado]ox.com/files3.php
- http://[Censurado]life.org/files3.php
- http://[Censurado]mi.altervista.org/files3.php
- http://[Censurado]ast.com.pl/files3.php
- http://[Censurado]bx.pl/files3.php
- http://[Censurado]mo.es/files3.php
- http://[Censurado]o.es/files3.php
- http://[Censurado].be/files3.php
- http://[Censurado]gris.com/files3.php
- http://[Censurado].pl/files3.php
- http://[Censurado].pl/files3.php
- http://[Censurado]alan.es/files3.php
- http://[Censurado]eohernandez.com/files3.php
- http://[Censurado]o100.altervista.org/files3.php
- http://[Censurado].com/files3.php
- http://[Censurado]ojoven.org/files3.php
- http://[Censurado]demarie.eolas-services.com/files3.php
- http://[Censurado]doaureliano.com/files3.php
- http://[Censurado].org.br/files3.php
- http://[Censurado]rtovillalobosguijuelo.com/files3.php
- http://[Censurado]enter.com/files3.php
- http://[Censurado].fi.funpic.org/files3.php
- http://[Censurado]net/files3.php
- http://[Censurado]ocredito.es/files3.php
- http://[Censurado]-sf.home.pl/files3.php
- http://[Censurado]tur.com/files3.php
- http://[Censurado]vedia.com/files3.php
- http://[Censurado]-ratgeber.com/files3.php
- http://[Censurado].sk/files3.php
- http://[Censurado]riascarnicaselrobledo.com/files3.php
- http://[Censurado]org/files3.php
- http://[Censurado]onsclimb.com/files3.php
- http://[Censurado]ews.blogspot.com/files3.php
- http://[Censurado]maseducativos-salamanca.com/files3.php
- http://[Censurado]lions.com/files3.php
- http://[Censurado]exwelt.de/files3.php
- http://[Censurado]onksport.be/files3.php
- http://www.[Censurado]ip.com/files3.php
- http://www.[Censurado]tasuche.de./files3.php
- http://www.[Censurado]at/404.html
- http://www.[Censurado]at/files3.php
- http://www.[Censurado]tosfamasa.com/files3.php
- http://www.[Censurado]sloges.com/files3.php
- http://www.[Censurado]umiembro.com/sitemap.php
- http://www.[Censurado]ic.com/files3.php
- http://www.[Censurado]m.pe/files3.php
- http://www.[Censurado]k.com/files3.php
- http://www.[Censurado]o.com/files3.php
- http://www.[Censurado]llage.it/files3.php
- http://www.[Censurado]s.pl/files3.php
- http://www.[Censurado].pl/files3.php
- http://www.[Censurado]n.com/files3.php
- http://www.[Censurado]roup.cz/chyby/chyba404.html
- http://www.[Censurado]roup.cz/files3.php
- http://www.[Censurado]projets-villejuif.fr/files3.php
- http://www.[Censurado]lancaruhaz.hu/files3.php
- http://www.[Censurado]-stroy.ru/files3.php
- http://www.[Censurado]ing.ee/files3.php
- http://www.[Censurado]ment.lv/files3.php
- http://www.[Censurado]news.com/files3.php
- http://www.[Censurado]a.com/files3.php
- http://www.[Censurado].cz/files3.php
- http://www.[Censurado]tragsservice.de/files3.php
- http://www.[Censurado]erein-grosswallstadt.de/files3.php
- http://www.[Censurado]nk-online.de/files3.php
- http://www.[Censurado]exwelt.de/404.html
- http://www.[Censurado]t-giegerich.de/404.html
- http://www.[Censurado]t-giegerich.de/files3.php
PER ANTIVIRUS®
versión X4 con registro de virus al 18 de Marzo del 2008 detecta y elimina este
troyano.
