RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Email-Worm.Win32.Bagle.gt

Otras versiones: .a, .dx, .fy, .gm

Detección agregada 12 dic 2006 17:23 GMT
Descripción agregada 15 may 2007
Comportamiento I-Worm

Detalles técnicos

Es un virus-gusano que se propaga por Internet en los datos adjuntos de los mensajes de correo infectados. Los mensajes infectados se envían a todas las direcciones de correo electrónico encontradas en el ordenador.

Además, el gusano puede descargar de Internet otros ficheros sin que el usuario se dé cuenta.

El gusano es un fichero PE EXE. Su tamaño es de 40.565 bytes.

Instalación

Durante su instalación el gusano crea una carpeta escondida:

%Documents and Settings%\Application Data\hidn

Y copia su fichero ejecutable en esta carpeta bajo los siguientes nombres:

%Documents and Settings%\Application Data\hidn\hidn2.exe

%Documents and Settings%\Application Data\hidn\hldrrr.exe

El gusano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key" = "%Documents and Settings%\Application Data\hidn\hidn2.exe"

De esta manera, el troyano se iniciará automáticamente cada vez que se inicie Windows.

El gusano elimina la siguiente llave del registro para evitar el inicio del sistema en el Modo a prueba de errores:

[HKLM\System\CurrentControlSet\Control\SafeBoot]

Propagación por correo electrónico

Para enviar copias de los mensajes infectados, el gusano busca en todas las particiones del disco duro ficheros con las siguientes extensiones:

.wab 
.txt 
.msg 
.htm 
.shtm 
.stm 
.xml 
.dbx 
.mbx 
.mdx 
.eml 
.nch 
.mmf 
.ods 
.cfg 
.asp 
.php 
.pl 
.wsh 
.adb 
.tbb 
.sht 
.xls 
.oft 
.uin 
.cgi 
.mht 
.dhtm 
.jsp

Además, esta variante del gusano tiene la capacidad de descargar desde Internet otros ficheros que contengan direcciones de correo electrónico de las futuras víctimas. El gusano también contiene una larga lista de páginas Internet desde las cuales se pueden descargar los siguientes ficheros:

http://www.tita***tors.com/images/1/eml.php
http://veranm***ala.com/1/eml.php
http://wkligh***azwa.pl/1/eml.php
http://yon***n24.co.kr/1/eml.php
http://acce***le.cl/1/eml.php
http://hotel***lba.com/1/eml.php
http://am***dy.com/1/eml.php
http://inca.d***solution.net/1/eml.php
http://www.aura***.com/1/eml.php
http://avatare***atis.com/1/eml.php
http://be***lu.com.tr/1/eml.php
http://brand***ck.com/1/eml.php
http://www.buy***ital.co.kr/1/eml.php
http://cam***mafra.sc.gov.br/1/eml.php
http://campos***ipamentos.com.br/1/eml.php
http://cbr***o.sos.pl/1/eml.php
http://c-***.com.au/1/eml.php
http://www.***npl.com/1/eml.php
http://coparefre***s.stantonstreetgroup.com/1/eml.php
http://creai***ire.com/1/eml.php
http://dese***i.com.br/1/eml.php
http://www.in***file.gr/1/eml.php
http://www.d***.cl/1/eml.php
http://www.disco***apuzzle.com/1/eml.php

El fichero descargado se guarda en el catálogo del sistema de Windows:

%WinDir%\elist.xpt

El gusano envía mensajes infectados a todas las direcciones contenidas en el fichero descargado.

El gusano no envía mensajes a las direcciones que contengan las siguientes secuencias de texto:

rating@ 
f-secur 
news 
update 
anyone@ 
bugs@ 
contract@ 
feste 
gold-certs@ 
help@ 
info@ 
nobody@ 
noone@ 
kasp 
admin 
icrosoft 
support 
ntivi 
unix 
bsd 
linux 
listserv 
certific 
sopho 
@foo 
@iana 
free-av 
@messagelab 
winzip 
google 
winrar 
samples 
abuse 
panda 
cafee 
spam 
pgp 
@avp. 
noreply 
local 
root@ 
postmaster@

Para enviar los mensajes infectados, el gusano usa su propia biblioteca SMTP.

Características de los mensajes infectados

Nombre del archivo adjunto

Se elige al azar de esta lista:

new_price.zip
price.zip
latest_price.zip
Daños

El gusano contiene la siguiente lista de direcciones URL, que verifica para ver si hay archivos disponibles:

http://ceramax.co.kr***
http://prime.gushi.org***
http://www.chapisteriadaniel.com***
http://charlesspaans.com***
http://chatsk.wz.cz***
http://www.chittychat.com***
http://checkalertusa.com***
http://cibernegocios.com.ar***
http://5050clothing.com***
http://cof666.shockonline.net***
http://comaxtechnologies.net***
http://concellodesandias.com***
http://www.cort.ru***
http://donchef.com***
http://www.crfj.com***
http://kremz.ru***
http://dev.jintek.com***
http://foxvcoin.com***
http://uwua132.org***
http://v-v-kopretiny.ic.cz***
http://erich-kaestner-schule-donaueschingen.de***
http://vanvakfi.com***
http://axelero.hu***
http://kisalfold.com***
http://vega-sps.com***
http://vidus.ru***
http://viralstrategies.com***
http://svatba.viskot.cz***
http://Vivamodelhobby.com***
http://vkinfotech.com***
http://vytukas.com***
http://waisenhaus-kenya.ch***
http://watsrisuphan.org***
http://www.ag.ohio-state.edu***
http://wbecanada.com***
http://calamarco.com***
http://vproinc.com***
http://grupdogus.de***
http://knickimbit.de***
http://dogoodesign.ch***
http://systemforex.de***
http://zebrachina.net***
http://www.walsch.de***
http://hotchillishop.de***
http://innovation.ojom.net***
http://massgroup.de***
http://web-comp.hu***
http://webfull.com***
http://welvo.com***
http://www.ag.ohio-state.edu***
http://poliklinika-vajnorska.sk***
http://wvpilots.org***
http://www.kersten.de***
http://www.kljbwadersloh.de***
http://www.voov.de***
http://www.wchat.cz***
http://www.wg-aufbau-bautzen.de***
http://www.wzhuate.com***
http://zsnabreznaknm.sk***
http://xotravel.ru***
http://ilikesimple.com***
http://yeniguntugla.com***

En caso de que en alguna de estas direcciones haya un fichero disponible, se lo descargará y guardará en el catálogo del sistema de Windows: (%System%\re_file.exe) para luego ejecutarlo.

Instrucciones de eliminación

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

  1. Abrir el Administrador de Tareas y terminar el proceso original del gusano.
  2. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
  3. Eliminar la siguiente carpeta y todo su contenido: 
    %Documents and Settings%\Application Data\hidn
  4. Eliminar el siguiente parámetros de las llave del registro: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key" = "%Documents and Settings%\Application Data\hidn\hidn2.exe"
  5. Eliminar los siguientes archivos: 
    %System%\re_file.exe
%WinDir%\elist.xpt
  6. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
 		 

Copyright © 1996 - 2010
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com