Worm-Backdoor.W32/Bagle.V@MM
Alias:
W32/Bagle.V.worm (Panda Software), W32.Beagle.V@mm (Symantec),
Win32.Bagle.V@mm (Bit Defender), Win32.Bagle.V (Computer
Associates), WORM_BAGLE.V (Trend Micro), Win32/Bagle.V (McAfee)
Descripción:
Bagle.V es un gusano que se propaga a través del correo electrónico
en un mensaje sin asunto ni contenido, y con un fichero adjunto de
nombre variable, pero que siempre tiene extensión EXE.
Bagle.V contiene una puerta trasera que abre el puerto TCP 4751 e
intenta conectarse a una página web que alberga un script PHP. De
este modo, notifica a su autor que el ordenador afectado puede ser
accedido a través del puerto mencionado.
Este gusano sólo se ejecuta si la fecha del sistema es 1 de enero
de 2005 o anterior.
Detalles:
Efectos
Bagle.V realiza las siguientes acciones:
- Crea una puerta trasera que permanece a
la escucha en el puerto TCP 4751.
- Descarga una actualización de sí mismo
(fichero A.EXE) desde Internet, a través del puerto abierto.
- >Comprueba cada dos segundos si hay
disponible una conexión a Internet. Si la encuentra, intenta
conectarse a una página web que alberga un script PHP: http://www.werde.de/5.php
- De este modo, notifica a su autor que el
ordenador afectado puede ser accedido a través del puerto que
ha abierto. Si no consigue enviar esta notificación, lo intenta
cada 100.000 segundos.
- Sólo se ejecuta si la fecha del sistema
es 1 de enero de 2005 o anterior. Después de esta fecha,
Bagle.V deja de funcionar.
Metodo de Infección
Bagle.V crea los siguientes ficheros:
- SYSINFO.EXE
en el directorio de sistema de Windows. Este fichero es una
copia del gusano.
- A.BAT.
Cuando este fichero de proceso por lotes sea ejecutado, borrará
el gusano.
- A.EXE,
en el directorio de Windows. Este fichero es descargado desde
Internet a través del puerto abierto.
Bagle.V crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\
Windows\ Current Version \Run
sysinfo.exe = %sysdir%\ sysinfo.exe
donde %sysdir% es el directorio de sistema de Windows. Mediante esta
entrada, Bagle.V consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ SOFTWARE\ Windows2005
gsed = %aleatorio%
donde %aleatorio% es un valor aleatorio que será usado durante la
ejecución del gusano.
HKEY_CURRENT_USER\ Software\ Windows2005
frn = 1
Bagle.V crea esta entrada para indicar que ya ha afectado al
ordenador.
Método de Propagación
Bagle.V se propaga a través del correo electrónico. Para ello,
realiza el siguiente proceso:
- Llega al ordenador en un mensaje de
correo con las siguientes características:
- Bagle.V busca direcciones de correo
electrónico en ficheros que tengan las siguientes extensiones:
ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT,
MMF, MSG, NCH, ODS, OFT, PHP, SHT, SHTM, STM, TBB, TXT, UIN,
WAB, WSH, XLS y XML.
- Busca estos ficheros en todas las
unidades del ordenador afectado, excepto en disqueteras, CD-ROMs
y otras unidades extraíbles.
- Se envía automáticamente a sí mismo a
todas las direcciones que ha recopilado usando su propio motor
SMTP, exceptuando aquellas que pertenecen a los dominios de
correo @microsoft y @avp.
- Envía mensajes de correo a razón de
uno cada cinco segundos.
Otros Detalles
Bagle.V está escrito en el lenguaje de programación Visual C.
Este gusano tiene un tamaño de 8208 Bytes cuando está comprimido
con FSG, y de aproximadamente 50 KBytes una vez es descomprimido.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del
virus en el disco duro de su PC. Si no dispone de antivirus,
visite nuestra página de Antivirus
gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los
ficheros, puede ser debido a que el fichero está en uso por
estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede
reparar un fichero' en el caso de gusanos o troyanos debido a
que no hay nada que reparar, simplemente hay que borrar el
fichero.
- En el caso de que no se pueda eliminar el fichero del virus,
debe terminar manualmente el proceso en ejecución del virus.
Abra el Administrador de tareas (presione Control+Mayúsculas+Esc).
En Windows 98/Me seleccione el nombre del proceso y deténgalo.
En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho
en el proceso y seleccione 'Terminar Proceso'. A continuación
vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Elimine las siguientes entradas del registro:
HKEY_LOCAL_MACHINE\ Software\
Microsoft\ Windows\ Current Version \Run
sysinfo.exe = %sysdir%\ sysinfo.exe
HKEY_CURRENT_USER\ SOFTWARE\
Windows2005
gsed = %aleatorio%
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información acerca de este virus en:
Fuente: red.es |
