Worm-Backdoor.W32/Agobot.AJD@RPC

Alias:
W32.Gaobot.AJD (Trend Micro), W32/Agobot.AJD (PerAntivirus), Backdoor.Agobot.gen (Kaspersky (viruslist.com))

Descripción:
Nueva variante de la familia de gusanos con capacidad de puerta trasera Agobot/Gaobot. Como sus antecesores se aprovecha de varias vulnerabilidades de Windows para difundirse. Además intenta copiarse en carpetas de red compartidas usando una lista de nombres de usuario y contraseñas.

Recibe órdenes de un atacante mediante IRC, roba claves de CD de ciertos juegos, termina procesos de antivirus y modifica el fichero HOSTS para impedir el acceso a sitios web de fabricantes de antivirus y la descarga de las actualizaciones.

Detalles:
Instalación

Cuando se ejecuta, se copia en la carpeta %System% con el nombre wauclt.exe

Crea las siguientes claves de registro para iniciarse junto al arranque de Windows:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Automated Windows Updates" = "%System%\wauclt.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"Automated Windows Updates" = "%System%\wauclt.exe"

Nota:%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Explotación de vulnerabilidades

Este gusano se aprovecha de varias vulnerabilidades de Windows que permiten la ejecución de código arbitrario en el sistema vulnerable:

• RPC DCOM , descrita en el Boletín de Seguridad de Microsoft MS03-026. Para ello utiliza el puerto TCP 135.
• Localizador de RPC, descrita en el Boletín de Seguridad de Microsoft MS03-001. Para ello utiliza el puerto TCP 445.
• IIS/WebDAV, descrita en el Boletín de Seguridad de Microsoft MS03-007. Esta sólo afecta a equipos con el servidor web IIS en ejecución.
• Desbordamiento de búfer en el servicio de estación de trabajo, descrita en el Boletín de Seguridad de Microsoft MS03-049. Utiliza los puertos TCP 138,139 y 445.
• Desbordamiento del Buffer de Plug and Play Universal descrita en el Boletín de Seguridad de Microsoft MS01-059
• Elevación de Servicios de las tareas web del Microsoft SQL Server 2000 descrita en el Boletín de Seguridad de Microsoft MS02-061
• Vulnerabilidad de Desbordamiento del Servicio Remoto de Seguridad Local descrita en el Boletín de Seguridad de Microsoft MS04-011

Propagación por la red

El gusano intenta copiarse en recursos de red de administración probando una lista de nombres de usuario y contraseña.

Intenta copiarse en:

• admin$
• c$
• d$
• e$
• print$

• a
• aaa
• abc
• admin
• Administrador
• administrador
• Administrateur
• Administrator
• administrator
• admins
• asdf
• computer
• Convidado
• Coordinatore
• database
• Default
• Dell
• Gast
• Guest
• home
• Inviter
• kanri
• kanri-sha
• login
• mary
• mgmt
• mysql
• OEM
• Ospite
• Owner
• owner
• OWNER
• pc
• qwer
• root
• server
• Standard
• student
• teacher
• temp
• Test
• User
• user
• Verwalter
• win
• wwwadmin
• x
• xp
• xyz

Contraseñas:

• !@#$
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• 0
• 000000
• 00000000
• 007
• 1
• 103095
• 110
• 111
• 111111
• 11111111
• 12
• 121212
• 123
• 123123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234qwer
• 123abc
• 123asd
• 123qwe
• 2002
• 2003
• 2003
• 2004
• 2600
• 54321
• 654321
• 654321
• 666
• 69
• 88888888
• a
• aaa
• abc
• abc123
• abcd
• ACCESS
• admin
• Admin
• admin123
• Administrador
• administrador
• Administrateur
• ADMINISTRATOR
• administrator
• administrator
• admins
• alpha
• asdf
• asdfgh
• asdfghjkl
• ASP
• baby
• backdoor
• BACKUP
• BOX
• Box
• box
• box
• changeme
• changeme
• CNN
• computer
• computer
• Coordinatore
• crash
• database
• database
• Default
• devil
• dude
• enable
• feds
• fish
• foobar
• fucked
• gay
• god
• godblessyou
• hax
• home
• homework
• idiot
• ihavenopass
• Internet
• Internet
• kids
• leet
• linux
• LOCAL
• login
• Login
• lol
• love
• metal
• mybaby
• mybox
• mypass
• mypc
• noob
• oracle
• Ospite
• own
• owned
• owner
• pass
• pass
• passwd
• PASSWD
• passwd
• password
• Password
• password123
• pat
• patrick
• pc
• penis
• PHP
• poiuytrewq
• porn
• private
• pussy
• pw
• pwd
• pwned
• qwer
• qwerty
• qwertyuiop
• r00t
• red123
• ROOT
• root
• root
• rooted
• school
• secret
• secret
• secrets
• SERVER
• server
• sex
• share
• student
• super
• superman
• supersecret
• sybase
• SYSTEM
• teacher
• TEMP
• temp
• TEST
• test123
• UNIX
• user
• vagina
• Verwalter
• werty
• wh0re
• whore
• win
• windows2k
• windows98
• windowsME
• WindowsXP
• windoze
• work
• wwwadmin
• x
• xp
• xxx
• xxyyzz
• yxcv
• z
• zxcv
• zxcvbnm

Si consigue autenticarse, se copia y se ejecuta en la carpeta objetivo.

Capacidad de puerta trasera

El gusano tiene incorporado un cliente IRC, que se conecta a cierto canal IRC y actúa como un programa de servidor controlado por un IRC Bot.

Una vez unido(conectado), este IRC Bot es capaz de enviar órdenes al programa servidor. Estas órdenes son usadas para controlar el sistema objetivo y el comportamiento del bot. Estas órdenes estarán relacionadas con el Gestor de órdenes, Cvar, IRC, redireccionamiento y descarga de órdenes.

Espera comandos de un atacante como los siguientes:

• Obtener información del sistema, como velocidad de CPU, memoria libre y total, versión de Windows, usuario que ha iniciado la sesión, etc.
• Activar o desactivar carpetas compartidas mediante NET.EXE.
• Activar o descativar DCOM mediante el registro.
• Abrir y ejecutar un fichero
• Terminar su ejecución
• Quitar el bot IRC
• Cambiar el alias del bot
• Obtener estado del gusano
• Actualizarse mediante HTTP o FTP
• Descargar y ejecutar ficheros .EXE
• Cambiar de canal o servidor IRC
• Cerrar la sesión, apagar y reiniciar la máquina infectada
• Terminar la ejecución de procesos.
• Lanzar ataques de inundación (HTTP, ICMP, SYN O UDP) contra una máquina designada
• Ejecutar redirecciones GRE, proxy HTTP o redirección de puertos TCP.

Robo de Información

El gusano roba la clave de los siguientes juegos:

• Battlefield 1942
• Battlefield 1942 - Secret Weapons Of WWII
• Battlefield 1942 - The Road To Rome
• Battlefield 1942 - Vietnam
• Black and White
• Chrome
• Command and Conquer - Generals
• Command and Conquer - Generals Zero Hour
• Command and Conquer - Red Alert2
• Command and Conquer - Tiberian Sun
• Counter-Strike
• FIFA 2002
• FIFA 2003
• Freedom Force
• Global Operations
• Gunman Chronicles
• Half-Life
• Hidden and Dangerous 2
• IGI2 - Covert Strike
• Industry Giant 2
• James Bond 007 - Nightfire
• Legends of Might and Magic
• Medal of Honor - Allied Assault
• Medal of Honor - Allied Assault: Breakthrough
• Medal of Honor - Allied Assault: Spearhead
• Nascar Racing 2002
• Nascar Racing 2003
• Need For Speed - Hot Pursuit 2
• Need For Speed - Underground
• Neverwinter Nights
• NHL 2002
• NHL 2003
• NOX
• Rainbow Six III Ravenshield
• Shogun - Total War - Warlord Edition
• Soldier of Fortune II - Double Helix
• Soldiers Of Anarchy
• The Gladiators
• Unreal Tournament 2003
• Unreal Tournament 2004

Represalias contra antivirus

El gusano intenta terminar procesos con los siguientes nombres, la mayor parte de ellos correospondientes a programas antivirus.

• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ADAWARE.EXE
• ADVXDWIN.EXE
• AGENTSVR.EXE
• AGENTW.EXE
• ALERTSVC.EXE
• ALEVIR.EXE
• ALOGSERV.EXE
• AMON9X.EXE
• ANTI-TROJAN.EXE
• ANTIVIRUS.EXE
• ANTS.EXE
• APIMONITOR.EXE
• APLICA32.EXE
• APVXDWIN.EXE
• ARR.EXE
• ATCON.EXE
• ATGUARD.EXE
• ATRO55EN.EXE
• ATUPDATER.EXE
• ATWATCH.EXE
• AU.EXE
• AUPDATE.EXE
• AUTO-PROTECT.NAV80TRY.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCC32.EXE
• AVGCTRL.EXE
• AVGNT.EXE
• AVGSERV.EXE
• AVGSERV9.EXE
• AVGUARD.EXE
• AVGW.EXE
• AVKPOP.EXE
• AVKSERV.EXE
• AVKSERVICE.EXE
• AVKWCTl9.EXE
• AVLTMAIN.EXE
• AVNT.EXE
• AVP.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPDOS32.EXE
• AVPM.EXE
• AVPTC32.EXE
• AVPUPD.EXE
• AVSCHED32.EXE
• AVSYNMGR.EXE
• AVWIN95.EXE
• AVWINNT.EXE
• AVWUPD.EXE
• AVWUPD32.EXE
• AVWUPSRV.EXE
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• BACKWEB.EXE
• BARGAINS.EXE
• BD_PROFESSIONAL.EXE
• BEAGLE.EXE
• BELT.EXE
• BIDEF.EXE
• BIDSERVER.EXE
• BIPCP.EXE
• BIPCPEVALSETUP.EXE
• BISP.EXE
• BLACKD.EXE
• BLACKICE.EXE
• BLSS.EXE
• BOOTCONF.EXE
• BOOTWARN.EXE
• BORG2.EXE
• BPC.EXE
• BRASIL.EXE
• BS120.EXE
• BUNDLE.EXE
• BVT.EXE
• CCAPP.EXE
• CCEVTMGR.EXE
• CCPXYSVC.EXE
• CDP.EXE
• CFD.EXE
• CFGWIZ.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFINET.EXE
• CFINET32.EXE
• Claw95.EXE
• CLAW95CF.EXE
• CLEAN.EXE
• CLEANER.EXE
• CLEANER3.EXE
• CLEANPC.EXE
• CLICK.EXE
• CMD32.EXE
• CMESYS.EXE
• CMGRDIAN.EXE
• CMON016.EXE
• CONNECTIONMONITOR.EXE
• CPD.EXE
• CPF9X206.EXE
• CPFNT206.EXE
• CTRL.EXE
• CV.EXE
• CWNB181.EXE
• CWNTDWMO.EXE
• DATEMANAGER.EXE
• DCOMX.EXE
• DEFALERT.EXE
• DEFSCANGUI.EXE
• DEFWATCH.EXE
• DEPUTY.EXE
• DIVX.EXE
• DLLCACHE.EXE
• DLLREG.EXE
• DOORS.EXE
• DPF.EXE
• DPFSETUP.EXE
• DPPS2.EXE
• DRWATSON.EXE
• DRWEB32.EXE
• DRWEBUPW.EXE
• DSSAGENT.EXE
• DVP95.EXE
• DVP95_0.EXE
• ECENGINE.EXE
• EFPEADM.EXE
• EMSW.EXE
• ENT.EXE
• ESAFE.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• ESCANV95.EXE
• ESPWATCH.EXE
• ETHEREAL.EXE
• ETRUSTCIPE.EXE
• EVPN.EXE
• EXANTIVIRUS-CNET.EXE
• EXE.AVXW.EXE
• EXPERT.EXE
• EXPLORE.EXE
• F-AGNT95.EXE
• F-AGOBOT.EXE
• F-PROT.EXE
• F-PROT95.EXE
• F-STOPW.EXE
• FAMEH32.EXE
• FAST.EXE
• FCH32.EXE
• FIH32.EXE
• FINDVIRU.EXE
• FIREWALL.EXE
• FLOWPROTECTOR.EXE
• FNRB32.EXE
• FP-WIN.EXE
• FP-WIN_TRIAL.EXE
• FPROT.EXE
• FRW.EXE
• FSAA.EXE
• FSAV.EXE
• FSAV32.EXE
• FSAV530STBYB.EXE
• FSAV530WTBYB.EXE
• FSAV95.EXE
• FSGK32.EXE
• FSM32.EXE
• FSMA32.EXE
• FSMB32.EXE
• GATOR.EXE
• GBMENU.EXE
• GBPOLL.EXE
• GENERICS.EXE
• GMT.EXE
• GUARD.EXE
• GUARDDOG.EXE
• HACKTRACERSETUP.EXE
• HBINST.EXE
• HBSRV.EXE
• HIJACKTHIS.EXE
• HOTACTIO.EXE
• HOTPATCH.EXE
• HTLOG.EXE
• HTPATCH.EXE
• HWPE.EXE
• HXDL.EXE
• HXIUL.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• IAMSTATS.EXE
• IBMASN.EXE
• IBMAVSP.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IDLE.EXE
• IEDLL.EXE
• IEDRIVER.EXE
• IEXPLORER.EXE
• IFACE.EXE
• IFW2000.EXE
• INETLNFO.EXE
• INFUS.EXE
• INFWIN.EXE
• INIT.EXE
• INTDEL.EXE
• INTREN.EXE
• IOMON98.EXE
• IPARMOR.EXE
• IRIS.EXE
• ISASS.EXE
• ISRV95.EXE
• ISTSVC.EXE
• JAMMER.EXE
• JDBGMRG.EXE
• JEDI.EXE
• KAVLITE40ENG.EXE
• KAVPERS40ENG.EXE
• KAVPF.EXE
• KAZZA.EXE
• KEENVALUE.EXE
• KERIO-PF-213-EN-WIN.EXE
• KERIO-WRL-421-EN-WIN.EXE
• KERIO-WRP-421-EN-WIN.EXE
• KERNEL32.EXE
• KILLPROCESSSETUP161.EXE
• LAUNCHER.EXE
• LDNETMON.EXE
• LDPRO.EXE
• LDPROMENU.EXE
• LDSCAN.EXE
• LNETINFO.EXE
• LOADER.EXE
• LOCALNET.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• LOOKOUT.EXE
• LORDPE.EXE
• LSETUP.EXE
• LUALL.EXE
• LUAU.EXE
• LUCOMSERVER.EXE
• LUINIT.EXE
• LUSPT.EXE
• MAPISVC32.EXE
• MCAGENT.EXE
• MCMNHDLR.EXE
• MCSHIELD.EXE
• MCTOOL.EXE
• MCUPDATE.EXE
• MCVSRTE.EXE
• MCVSSHLD.EXE
• MD.EXE
• MFIN32.EXE
• MFW2EN.EXE
• MFWENG3.02D30.EXE
• MGAVRTCL.EXE
• MGAVRTE.EXE
• MGHTML.EXE
• MGUI.EXE
• MINILOG.EXE
• MMOD.EXE
• MONITOR.EXE
• MOOLIVE.EXE
• MOSTAT.EXE
• MPFAGENT.EXE
• MPFSERVICE.EXE
• MPFTRAY.EXE
• MRFLUX.EXE
• MSAPP.EXE
• MSBB.EXE
• MSBLAST.EXE
• MSCACHE.EXE
• MSCCN32.EXE
• MSCMAN.EXE
• MSCONFIG.EXE
• MSDM.EXE
• MSDOS.EXE
• MSIEXEC16.EXE
• MSINFO32.EXE
• MSLAUGH.EXE
• MSMGT.EXE
• MSMSGRI32.EXE
• MSSMMC32.EXE
• MSSYS.EXE
• MSVXD.EXE
• MU0311AD.EXE
• MWATCH.EXE
• N32SCANW.EXE
• NAV.EXE
• NAVAP.NAVAPSVC.EXE
• NAVAPSVC.EXE
• NAVAPW32.EXE
• NAVDX.EXE
• NAVENGNAVEX15.NAVLU32.EXE
• NAVLU32.EXE
• NAVNT.EXE
• NAVSTUB.EXE
• NAVW32.EXE
• NAVWNT.EXE
• NC2000.EXE
• NCINST4.EXE
• NDD32.EXE
• NEOMONITOR.EXE
• NEOWATCHLOG.EXE
• NETARMOR.EXE
• NETD32.EXE
• NETINFO.EXE
• NETMON.EXE
• NETSCANPRO.EXE
• NETSPYHUNTER-1.2.EXE
• NETSTAT.EXE
• NETUTILS.EXE
• NISSERV.EXE
• NISUM.EXE
• NMAIN.EXE
• NOD32.EXE
• NORMIST.EXE
• NORTON_INTERNET_SECU_3.0_407.EXE
• NOTSTART.EXE
• NPF40_TW_98_NT_ME_2K.EXE
• NPFMESSENGER.EXE
• NPROTECT.EXE
• NPSCHECK.EXE
• NPSSVC.EXE
• NSCHED32.EXE
• NSSYS32.EXE
• NSTASK32.EXE
• NSUPDATE.EXE
• NT.EXE
• NTRTSCAN.EXE
• NTVDM.EXE
• NTXconfig.EXE
• NUI.EXE
• NUPGRADE.EXE
• NVARCH16.EXE
• NVC95.EXE
• NVSVC32.EXE
• NWINST4.EXE
• NWSERVICE.EXE
• NWTOOL16.EXE
• OLLYDBG.EXE
• ONSRVR.EXE
• OPTIMIZE.EXE
• OSTRONET.EXE
• OTFIX.EXE
• OUTPOST.EXE
• OUTPOSTINSTALL.EXE
• OUTPOSTPROINSTALL.EXE
• PADMIN.EXE
• PANIXK.EXE
• PATCH.EXE
• PAVCL.EXE
• PAVPROXY.EXE
• PAVSCHED.EXE
• PAVW.EXE
• PCC2002S902.EXE
• PCC2K_76_1436.EXE
• PCCIOMON.EXE
• PCCNTMON.EXE
• PCCWIN97.EXE
• PCCWIN98.EXE
• PCDSETUP.EXE
• PCFWALLICON.EXE
• PCIP10117_0.EXE
• PCSCAN.EXE
• PDSETUP.EXE
• PENIS.EXE
• PERISCOPE.EXE
• PERSFW.EXE
• PERSWF.EXE
• PF2.EXE
• PFWADMIN.EXE
• PGMONITR.EXE
• PINGSCAN.EXE
• PLATIN.EXE
• POP3TRAP.EXE
• POPROXY.EXE
• POPSCAN.EXE
• PORTDETECTIVE.EXE
• PORTMONITOR.EXE
• POWERSCAN.EXE
• PPINUPDT.EXE
• PPTBC.EXE
• PPVSTOP.EXE
• PRIZESURFER.EXE
• PRMT.EXE
• PRMVR.EXE
• PROCDUMP.EXE
• PROCESSMONITOR.EXE
• PROCEXPLORERV1.0.EXE
• PROGRAMAUDITOR.EXE
• PROPORT.EXE
• PROTECTX.EXE
• PSPF.EXE
• PURGE.EXE
• PUSSY.EXE
• PVIEW95.EXE
• QCONSOLE.EXE
• QSERVER.EXE
• RAPAPP.EXE
• RAV7.EXE
• RAV7WIN.EXE
• RAV8WIN32ENG.EXE
• RAY.EXE
• RB32.EXE
• RCSYNC.EXE
• REALMON.EXE
• REGED.EXE
• REGEDIT.EXE
• REGEDT32.EXE
• RESCUE.EXE
• RESCUE32.EXE
• RRGUARD.EXE
• RSHELL.EXE
• RTVSCAN.EXE
• RTVSCN95.EXE
• RULAUNCH.EXE
• RUN32DLL.EXE
• RUNDLL.EXE
• RUNDLL16.EXE
• RUXDLL32.EXE
• SAFEWEB.EXE
• SAHAGENT.EXE
• SAVE.EXE
• SAVENOW.EXE
• SBSERV.EXE
• SC.EXE
• SCAM32.EXE
• SCAN32.EXE
• SCAN95.EXE
• SCANPM.EXE
• SCRSCAN.EXE
• SCRSVR.EXE
• SCVHOST.EXE
• SD.EXE
• SERV95.EXE
• SERVICE.EXE
• SERVLCE.EXE
• SERVLCES.EXE
• SETUPVAMEEVAL.EXE
• SETUP_FLOWPROTECTOR_US.EXE
• SFC.EXE
• SGSSFW32.EXE
• SH.EXE
• SHELLSPYINSTALL.EXE
• SHN.EXE
• SHOWBEHIND.EXE
• SMC.EXE
• SMS.EXE
• SMSS32.EXE
• SOAP.EXE
• SOFI.EXE
• SPERM.EXE
• SPF.EXE
• SPHINX.EXE
• SPOLER.EXE
• SPOOLCV.EXE
• SPOOLSV32.EXE
• SPYXX.EXE
• SREXE.EXE
• SRNG.EXE
• SS3EDIT.EXE
• SSGRATE.EXE
• SSG_4104.EXE
• ST2.EXE
• START.EXE
• STCLOADER.EXE
• SUPFTRL.EXE
• SUPPORT.EXE
• SUPPORTER5.EXE
• SVC.EXE
• SVCHOSTC.EXE
• SVCHOSTS.EXE
• SVSHOST.EXE
• SWEEP95.EXE
• SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
• SYMPROXYSVC.EXE
• SYMTRAY.EXE
• SYSEDIT.EXE
• SYSTEM.EXE
• SYSTEM32.EXE
• SYSUPD.EXE
• TASKMG.EXE
• TASKMO.EXE
• TASKMON.EXE
• TAUMON.EXE
• TBSCAN.EXE
• TC.EXE
• TCA.EXE
• TCM.EXE
• TDS-3.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• TEEKIDS.EXE
• TFAK.EXE
• TFAK5.EXE
• TGBOB.EXE
• TITANIN.EXE
• TITANINXP.EXE
• TRACERT.EXE
• TRICKLER.EXE
• TRJSCAN.EXE
• TRJSETUP.EXE
• TROJANTRAP3.EXE
• TSADBOT.EXE
• TVMD.EXE
• TVTMD.EXE
• UNDOBOOT.EXE
• UPDAT.EXE
• UPDATE.EXE
• UPGRAD.EXE
• UTPOST.EXE
• VBCMSERV.EXE
• VBCONS.EXE
• VBUST.EXE
• VBWIN9X.EXE
• VBWINNTW.EXE
• VCSETUP.EXE
• VET32.EXE
• VET95.EXE
• VETTRAY.EXE
• VFSETUP.EXE
• VIR-HELP.EXE
• VIRUSMDPERSONALFIREWALL.EXE
• VNLAN300.EXE
• VNPC3000.EXE
• VPC32.EXE
• VPC42.EXE
• VPFW30S.EXE
• VPTRAY.EXE
• VSCAN40.EXE
• VSCENU6.02D30.EXE
• VSCHED.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSISETUP.EXE
• VSMAIN.EXE
• VSMON.EXE
• VSSTAT.EXE
• VSWIN9XE.EXE
• VSWINNTSE.EXE
• VSWINPERSE.EXE
• W32DSM89.EXE
• W9X.EXE
• WATCHDOG.EXE
• WEBDAV.EXE
• WEBSCANX.EXE
• WEBTRAP.EXE
• WFINDV32.EXE
• WGFE95.EXE
• WHOSWATCHINGME.EXE
• WIMMUN32.EXE
• WIN-BUGSFIX.EXE
• WIN32.EXE
• WIN32US.EXE
• WINACTIVE.EXE
• WINDOW.EXE
• WINDOWS.EXE
• WININETD.EXE
• WININIT.EXE
• WININITX.EXE
• WINLOGIN.EXE
• WINMAIN.EXE
• WINNET.EXE
• WINPPR32.EXE
• WINRECON.EXE
• WINSERVN.EXE
• WINSSK32.EXE
• WINSTART.EXE
• WINSTART001.EXE
• WINTSK32.EXE
• WINUPDATE.EXE
• WKUFIND.EXE
• WNAD.EXE
• WNT.EXE
• WRADMIN.EXE
• WRCTRL.EXE
• WSBGATE.EXE
• WUPDATER.EXE
• WUPDT.EXE
• WYVERNWORKSFIREWALL.EXE
• XPF202EN.EXE
• ZAPRO.EXE
• ZAPSETUP3001.EXE
• ZATUTOR.EXE
• ZONALM2601.EXE
• ZONEALARM.EXE

• avp.com
• ca.com
• customer.symantec.com
• dispatch.mcafee.com
• download.mcafee.com
• f-secure.com
• kaspersky.com
• liveupdate.symantec.com
• liveupdate.symantecliveupdate.com
• mast.mcafee.com
• mcafee.com
• my-etrust.com
• nai.com
• networkassociates.com
• rads.mcafee.com
• secure.nai.com
• securityresponse.symantec.com
• sophos.com
• symantec.com
• trendmicro.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• viruslist.com
• viruslist.com
• www.avp.com
• www.ca.com
• www.f-secure.com
• www.kaspersky.com
• www.mcafee.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com

Denegación de servicio

El gusano realiza continuamente peticiones HTTP a los siguientes sitios con el objeto de saturarlos:

• de.yahoo.com
• nitro.ucsc.edu
• verio.fr
• www.1und1.de
• www.above.net
• www.belwue.de
• www.burst.net
• www.cogentco.com
• www.d1asia.com
• www.level3.com
• www.lib.nthu.edu.tw
• www.nifty.com
• www.nocster.com
• www.rit.edu
• www.schlund.net
• www.st.lib.keio.ac.jp
• www.stanford.edu
• www.switch.ch
• www.utwente.nl
• www.verio.com
• www.xo.net
• yahoo.co.jp

Otros Detalles:

El gusano intenta borrar las siguientes entradas de autoejecución del registro, que pertenecen a variantes de Netsky y Bagle:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Ssate.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
rate.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
d3dupdate.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
TaskMon

HKEY_LOCAL_MACHINE \Software\Microsoft\
Windows\CurrentVersion\Run
Explorer

• bbeagle.exe
• d3dupdate.exe
• i11r54n4.exe
• irun4.exe
• rate.exe
• ssate.exe
• Ssate.exe
• taskmon.exe
• winsys.exe

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
   
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine las siguientes entradas del registro:

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
   "Automated Windows Updates" = "%System%\wauclt.exe"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
   "Automated Windows Updates" = "%System%\wauclt.exe"
   
   

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

• Symantec
• Per Antivirus

Fuente: red.es