publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Bagle.AB

Virus Bagle.AB

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación media Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Bagle.AB realiza las siguientes acciones:

  • Intenta conectarse a través del puerto 2535 a varias páginas web que albergan un script PHP. De este modo, notifica a su autor que el ordenador ha sido afectado:

    http://2udar.ligakvn.de/5.php
    http://3treepoint.com/5.php
    http://abakan.strana.de/5.php
    http://andimeisslein.de/5.php
    http://ditec.um.es/5.php
    http://fotos.schneider.bards.de/5.php
    http://hardvision.ru/5.php
    http://jakimov.golos.de/5.php
    http://markusgimenez.de/5.php
    http://mhv24.de/5.php
    http://s318.evanzo-server.de/5.php
    http://Spaceclub.de/5.php
    http://tobimayer.de/5.php
    http://vg.xtonne.de/5.php
    http://vg.xtonne.de/5.php
    http://villakinderbunt.de/5.php
    http://virtualzone.de/5.php
    http://www.ac-schnitzer.de/5.php
    http://www.auma.de/5.php
    http://www.autoscout24.de/5.php
    http://www.avh.de/5.php
    http://www.beckers-systems.de/5.php
    http://www.berlinale.de/5.php
    http://www.blauer-engel.de/5.php
    http://www.bmbf.de/5.php
    http://www.bruecke-osteuropa.de/5.php
    http://www.bundesregierung.de/5.php
    http://www.cicv.fr/5.php
    http://www.chugai.de/5.php
    http://www.dalnoboyshik.de/5.php
    http://www.de-bug.de/5.php
    http://www.degruyter.de/5.php
    http://www.deutsch-als-fremdsprache.de/5.php
    http://www.deutsches-museum.de/5.php
    http://www.deutschland.de/5.php
    http://www.dfg.de/5.php
    http://www.documenta.de/5.php
    http://www.dwd.de/5.php
    http://www.embl-heidelberg.de/5.php
    http://www.emis.de/5.php
    http://www.eumetsat.de/5.php
    http://www.exactaudiocopy.de/5.php
    http://www.fernuni-hagen.de/5.php
    http://www.fiz-karlsruhe.de/5.php
    http://www.fracht-24.de/5.php
    http://www.fu-berlin.de/5.php
    http://www.gdch.de/5.php
    http://www.go-amman.de/5.php
    http://www.goethe.de/5.php
    http://www.gospel-nations.de/5.php
    http://www.gsi.de/5.php
    http://www.hamann-motorsport.de/5.php
    http://www.hamburg.de/5.php
    http://www.heise.de/5.php
    http://www.hotel-pension-spree.de/5.php
    http://www.ifdesign.de/5.php
    http://www.insel-ruegen-hotel.de/5.php
    http://www.intermatgmbh.de/5.php
    http://www.jura.uni-sb.de/5.php
    http://www.kliniken.de/5.php
    http://www.leipziger-messe.de/5.php
    http://www.loveparade.de/5.php
    http://www.low-spirit.de/5.php
    http://www.mdz-moskau.de/5.php
    http://www.mitsubishi-evs.de/5.php
    http://www.mitsumi.de/5.php
    http://www.mk-motorsport.de/5.php
    http://www.mobile.de/5.php
    http://www.nabu.de/5.php
    http://www.neformal.de/5.php
    http://www.neznakomez.de/5.php
    http://www.paromi.de/5.php
    http://www.partner-inform.de/5.php
    http://www.php-resource.de/5.php
    http://www.pri-wo-hamburg.de/5.php
    http://www.red-dot.de/5.php
    http://www.restarted-alliance.de/5.php
    http://www.ruletka.de/5.php
    http://www.russische-botschaft.de/5.php
    http://www.siegenia-aubi.com/5.php
    http://www.spiegel.de/5.php
    http://www.sprach-zertifikat.de/5.php
    http://www.teac.de/5.php
    http://www.tecchannel.de/5.php
    http://www.tekeli.de/5.php
    http://www.tib.uni-hannover.de/5.php
    http://www.turism.de/5.php
    http://www.uni-oldenburg.de/5.php
    http://www.uni-stuttgart.de/5.php
    http://www.welt.de/5.php
    http://www.windac.de/5.php
    http://www.winfuture.de/5.php
    http://www.www.mirko-becker.gmxhome.de/5.php
  • Termina los siguientes procesos, si se encuentran activos:

    3.02D30.EXE, AGENTSVR.EXE, ANTI-TROJA, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, drvsys.EXE, DRWATSON.EXE, DRWEBUPW.EXE, E TRACERT.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.E, MU0311AD.EXE, N.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EX, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.E, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XE MSSMMC32.EXE, XE WRCTRL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.

    Estos procesos pertenecen a programas antivirus y firewalls, entre otras aplicaciones de seguridad, así como a diversos gusanos.
  • Muestra en pantalla el siguiente falso mensaje de error cuando es ejecutado:

Metodo de infección:

Bagle.AB crea los siguientes archivos en el directorio de sistema de Windows:

  • DRVDDLL.EXE y DRVDDLL.EXEOPEN. Estos archivos son una copia del gusano.
  • DRVDDLL.EXEOPENOPEN. Este fichero VBS crea y ejecuta una copia del gusano en el ordenador afectado.

Bagle.AB crea la siguiente entrada en el Registro de Windows:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    drvddll.exe = %sysdir%\ drvddll.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Bagle.AB consigue ejecutarse cada vez que Windows se inicia.

Metodo de propagación:

Bagle.AB se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.AB realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje escrito en inglés de características variables:

    Remitente:
    Bagle.AB falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: uno de los siguientes:
    Changes..
    Encrypted document
    Fax Message Received
    Forum notify
    Hidden message
    Incoming message
    New changes
    Notification
    Protected message
    Re: Document
    Re: Hello
    Re: Hi
    Re: Incoming Message
    RE: Incoming Msg
    RE: Message Notify
    Re: Msg reply   
    RE: Protected message
    RE: Text message
    Re: Thank you!
    Re: Thanks :)
    Re: Yahoo!
    Site changes

    Contenido: el mensaje estará generalmente vacío. Sin embargo, si el archivo adjunto tiene extensión ZIP, estará protegido mediante una contraseña, y el mensaje incluirá uno de los siguientes textos:
    Archive password: %clave%
    Attached file is protected with the password for security reasons. Password is %clave%
    For security purposes the attached file is password protected. Password -- %clave%
    For security reasons attached file is password protected. The password is %clave%
    In order to read the attach you have to use the following password: %clave%
    Note: Use password %clave% to open archive.
    Password - %clave%
    Password: %clave%
    donde %clave% representa un fichero de imagen con extensión BMP, que contiene la contraseña necesaria para descomprimir el fichero adjunto.
    Por ejemplo, esta imagen podría ser:


    Archivo adjunto: tiene un nombre y extensión variables:
    Posibles nombres: ALIVE_CONDOM, COUNTER_STRIKE, DETAILS, DETAILS, DOCUMENT, HALF_LIVE, I_SEARCH_FOR_YOU, INFO, INFORMATION, JOKE, LOVES_MONEY, MANUFACTURE, MESSAGE, MOREINFO, NERVOUS_ILLNESSES, README, SMOKE, TEXT_DOCUMENT, THE_MESSAGE, THE_MESSAGE, TOY, YOU_ARE_DISMISSED, YOU_WILL_ANSWER_TO_ME, YOUR_COMPLAINT, YOUR_MONEY.
    Posibles extensiones: COM, CPL, EXE, HTA, SCR, VBS, ZIP.
    En el caso de que la extensión del archivo adjunto sea ZIP, éste contendrá, además de una copia del gusano con nombre aleatorio, otro fichero con otro nombre aleatorio y una de las siguientes extensiones: BAT, DLL, DOC, TXT, VXD. Este fichero contendrá caracteres aleatorios.
  • El ordenador es afectado cuando el fichero adjunto es ejecutado.
  • Bagle.AB busca direcciones de correo electrónico en ficheros que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
  • Bagle.AB se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
  • Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
    @avp., @foo, @hotmail, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar y winzip.

 

2.- Propagación a través de programas de intercambio de ficheros.

Bagle.AB realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios que contengan la cadena de texto shar. Utiliza los siguientes nombres de fichero:
    ACDSee 9.exe
    Adobe Photoshop 9 full.exe
    Ahead Nero 7.exe
    Kaspersky Antivirus 5.0
    KAV 5.0
    Matrix 3 Revolution English Subtitles.exe
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Office XP working Crack, Keygen.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Opera 8 New!.exe
    Porno pics arhive, xxx.exe
    Porno Screensaver.scr
    Porno, sex, oral, anal cool, awesome!!.exe
    Serials.txt.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    WinAmp 6 New!.exe
    Windown Longhorn Beta Leak.exe
    Windows Sourcecode update.doc.exe
    XXX hardcore images.exe
  • De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de ficheros.
  • Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Bagle.AB, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.AB.

Otros detalles:

Bagle.AB está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño variable de alrededor de 20000 Bytes y se encuentra comprimido mediante UPX.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork