LatinoSeguridad

Menú

Importante

Alerta de virus

Worm.W32/Beagle@MM

Alias:
W32.Beagle.A@mm (Symantec), I-Worm.Bagle (Kaspersky (viruslist.com)), WORM_BAGLE.A (Trend Micro), W32/Bagle-A (Sophos), Win32/Bagle.A (Enciclopedia Virus (Ontinent)), Win32.Bbgle.A@mm (Bit Defender), W32/Bagle.A.worm (Panda Software), W32/Bagle@mm (PerAntivirus), Bagle (F-Secure)

Descripción:
Gusano que se difunde mediante el envio masivo de correo electrónico a direcciones que captura de diversos ficheros en la máquina infectada. Utiliza un truco de ingeniería social muy simple pero efectivo, consistente en hacerse pasar por un mensaje de prueba con un fichero adjunto que usa el icono de la calculadora de Windows, lo que parece que hace pensar a las víctimas que es inofensivo.

Además de las molestias que causa la rutina de envío masivo de correo, lo que hace más peligroso a este gusano es su capacidad de puerta trasera. El gusano se queda residente en la máquina infectada y aguarda comandos de un usuario remoto no autorizado, que podría obtener control total del sistema infectado, dependiendo de la configuración del sistema y de la red.

Está programado para dejar de funcionar el día 28 de Enero de 2004. El gusano obtiene la fecha del PC infectado (que podría ser incorrecta) y termina su ejecución si ésta es posterior al 28 de Enero.

Detalles:
Cuando es ejecutado el archivo adjunto, realizará las siguientes tareas:

Instalación y Autoarranque

Verifica que la fecha del sistema sea anterior al 29 de enero de 2004. Si no es menor, el gusano finalizará su ejecución.
Copia el fichero %system%\bbeagle.exe en la carpeta del sistema.
Nota: %System% es una variable que representa la carpeta del sistema. Por defecto será C:\Windows\System para (Windows 95/98/Me), C:\Winnt\System32 para (Windows NT/2000), o C:\Windows\System32 para (Windows XP).
Crea las siguientes entradas en los registros indicados para facilitarse la ejecución junto al inicio de Windows.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"
También podrá crear las siguientes entradas para mantener en el sistema ciertas huellas de sus actividades:
HKEY_USERS\%SystemInfo%\Software\Windows98
Uid =

HKEY_USERS\%SystemInfo%\Software\Windows98
Frun = %SystemInfo%

Nota: %SystemInfo% se refiere a variable que contienen información del sistema como "Class ID" o "Username".)

Propagación vía Correo

Para propagarse, buscará y capturará direcciones de correo existentes en ficheros de los siguientes tipos:
- WAB
- TXT
- HTM
- HTML
Intentará evitar aquellas direcciones de correo que contengan las siguientes cadenas de texto:
- @hotmail.com
- @msn.com
- @microsoft
- @avp
A continuación enviará un mensaje a todas las direcciones de correo electrónico recopiladas, al que adjuntará una copia de si mismo.
El mensaje enviado tiene las siguientes características:
El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse.

Rutina de ocultación

Si su ejecución no se realiza con el nombre de fichero %System%\BBEAGLE.EXE, ejecutará el fichero CALC.EXE (Calculadora de Windows). que posee el siguiente icono:
Mientras, el gusano está ejecutándose en un proceso diferido continuando sus actividades.
Si el usuario finaliza el proceso de Calculadora, el gusano continuará su ejecución como un proceso distinto.
En caso de ejecutarse directamente la Calculadora, el gusano fallará en su ejecución.

Otros detalles.

Intenta acceder a varias direcciones de Internet posiblemente para auto actualizarse.
- http://www.elra[***]hop.de/1.php
- http://www.it[***]msc.de/1.php
- http://www.get[***]orfree.net/1.php
- http://www.dm[***]sign.de/1.php
- http://64.1[***].228.13/1.php
- http://www.leonze[***]nitsky.com/1.php
- http://216.98.[***]6.248/1.php
- http://216.98.[***]4.247/1.php
- http://www.cdrom[***]a.com/1.php
- http://www.kunst[***]in-templin.de/1.php
- http://vipwe[***].ru/1.php
- http://antol[***]co.ru/1.php
- http://www.bags[***]dostavka.mags.ru/1.php
- http://www.5[***]12.ru/1.php
- http://bose[***]audio.net/1.php
- http://www.st[***]ngdata.de/1.php
- http://wh9.tu[***]dresden.de/1.php
- http://www.mi[***]onuke.net/1.php
- http://www.sta[***]hagen.org/1.php
- http://www.beasty[***]cars.de/1.php
- http://www.polo[***]exe.de/1.php
- http://www.bi[***]88.de/1.php
- http://www.gref[***]athpaenz.de/1.php
- http://www.bha[***]idy.de/1.php
- http://www.mysti[***]vws.de/1.php
- http://www.auto[***]hobby-essen.de/1.php
- http://www.po[***]zicke.de/1.php
- http://www.twr[***]music.de/1.php
- http://www.sc[***]erbendorf.de/1.php
- http://www.mont[***]ia.de/1.php
- http://www.med[***]martin.de/1.php
- http://vv[***]gn.de/1.php
- http://www.ballon[***]oto.com/1.php
- http://www.marder[***]gmbh.de/1.php
- http://www.dvd[***]filme.com/1.php
- http://www.s[***]eangol.com/1.php
  Nota:Las direcciones permanecen accesibles aunque el fichero 1.php no se encuentra disponible en ninguna de ellas.
El gusano intentará realizar un escaneo de puertos para conectarse con el sistema remoto.

Solución:

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.

Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Windows98
Uid =

HKEY_USERS\%SystemInfo%\Software\Windows98
Frun = %SystemInfo%
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Alternativamente, puede usar alguna de las herramientas de desinfección gratuitas disponibles:

Más información acerca de este virus en:

Fuente: red.es