publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Bagle.BC

Virus Bagle.BC

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Bagle.BC realiza las siguientes acciones:

  • Permanece a la escucha del puerto TCP 81, en espera de conexiones remotas con el fin de realizar acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
  • Finaliza los siguientes procesos, si se encuentran activos en memoria:

    alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe y VsTskMgr.exe.
    Estos procesos pertenecen a herramientas de seguridad, como por ejemplo programas antivirus, entre otros, y su finalización deja al ordenador afectado vulnerable frente al ataque de otro malware.
  • Intenta descargar el archivo G.JPG desde cualquiera de los siguientes sitios web:

    http://www.24-7-transportation.com
    http://www.adhdtests.com
    http://www.aegee.org
    http://www.aimcenter.net
    http://www.alupass.lu
    http://www.amanit.ru
    http://www.andara.com
    http://www.angelartsanctuary.com
    http://www.anthonyflanagan.com
    http://www.approved1stmortgage.com
    http://www.argontech.net
    http://www.asianfestival.nl
    http://www.atlantisteste.hpg.com.br
    http://www.aviation-center.de
    http://www.bbsh.org
    http://www.bga-gsm.ru
    http://www.boneheadmusic.com
    http://www.bottombouncer.com
    http://www.bradster.com
    http://www.buddyboymusic.com
    http://www.bueroservice-it.de
    http://www.calderwoodinn.com
    http://www.capri-frames.de
    http://www.celula.com.mx
    http://www.ceskyhosting.cz
    http://www.chinasenfa.com
    http://www.cntv.info
    http://www.compsolutionstore.com
    http://www.coolfreepages.com
    http://www.corpsite.com
    http://www.corpsite.com
    http://www.couponcapital.net
    http://www.cpc.adv.br
    http://www.crystalrose.ca
    http://www.cscliberec.cz
    http://www.curtmarsh.com
    http://www.customloyal.com
    http://www.DarrkSydebaby.com
    http://www.deadrobot.com
    http://www.dontbeaweekendparent.com
    http://www.dragcar.com
    http://www.ecofotos.com.br
    http://www.elenalazar.com
    http://www.ellarouge.com.au
    http://www.esperanzaparalafamilia.com
    http://www.eurostavba.sk
    http://www.everett.wednet.edu
    http://www.fcpages.com
    http://www.featech.com
    http://www.fepese.ufsc.br
    http://www.firstnightoceancounty.org
    http://www.flashcorp.com
    http://www.fleigutaetscher.ch
    http://www.fludir.is
    http://www.freeservers.com
    http://www.FritoPie.NET
    http://www.gamp.pl
    http://www.gci-bln.de
    http://www.gcnet.ru
    http://www.generationnow.net
    http://www.gfn.org
    http://www.giantrevenue.com
    http://www.glass.la
    http://www.handsforhealth.com
    http://www.hartacorporation.com
    http://www.himpsi.org
    http://www.idb-group.net
    http://www.immonaut.sk
    http://www.ims-i.com
    http://www.innnewport.com
    http://www.irakli.org
    http://www.irinaswelt.de
    http://www.jansenboiler.com
    http://www.jasnet.pl
    http://www.jhaforpresident.7p.com
    http://www.jimvann.com
    http://www.jldr.ca
    http://www.justrepublicans.com
    http://www.kencorbett.com
    http://www.knicks.nl
    http://www.kps4parents.com
    http://www.kradtraining.de
    http://www.kranenberg.de
    http://www.lasermach.com
    http://www.leonhendrix.com
    http://www.magicbottle.com.tw
    http://www.mass-i.kiev.ua
    http://www.mepbisu.de
    http://www.mepmh.de
    http://www.metal.pl
    http://www.mexis.com
    http://www.mongolische-renner.de
    http://www.mtfdesign.com
    http://www.oboe-online.com
    http://www.ohiolimo.com
    http://www.onepositiveplace.org
    http://www.oohlala-kirkland.com
    http://www.orari.net
    http://www.pankration.com
    http://www.pe-sh.com
    http://www.pfadfinder-leobersdorf.com
    http://www.pipni.cz
    http://www.polizeimotorrad.de
    http://www.programmierung2000.de
    http://www.pyrlandia-boogie.pl
    http://www.raecoinc.com
    http://www.realgps.com
    http://www.redlightpictures.com
    http://www.reliance-yachts.com
    http://www.relocationflorida.com
    http://www.rentalstation.com
    http://www.rieraquadros.com.br
    http://www.scanex-medical.fi
    http://www.sea.bz.it
    http://www.selu.edu
    http://www.sigi.lu
    http://www.sljinc.com
    http://www.smacgreetings.com
    http://www.soloconsulting.com
    http://www.spadochron.pl
    http://www.srg-neuburg.de
    http://www.ssmifc.ca
    http://www.sugardas.lt
    http://www.sunassetholdings.com
    http://www.szantomierz.art.pl
    http://www.the-fabulous-lions.de
    http://www.tivogoddess.com
    http://www.tkd2xcell.com
    http://www.topko.sk
    http://www.transportation.gov.bh
    http://www.travelchronic.de
    http://www.traverse.com
    http://www.uhcc.com
    http://www.ulpiano.org
    http://www.uslungiarue.it
    http://www.vandermost.de
    http://www.vbw.info
    http://www.velezcourtesymanagement.com
    http://www.velocityprint.com
    http://www.vikingpc.pl
    http://www.vinirforge.com
    http://www.wecompete.com
    http://www.worest.com.ar
    http://www.woundedshepherds.com
    http://www.wwwebad.com
    http://www.wwwebmaster.com

Metodo de infección:

Bagle.BC crea los siguientes archivos, que son copias del gusano, en el directorio de sistema de Windows:

  • WINGO.EXE.
  • WINGO.EXEOPEN.
  • WINGO.EXEOPENOPEN.

Bagle.BC crea la siguiente entrada en el Registro de Windows:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    wingo = %sysdir%\wingo.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Bagle.BC consigue ejecutarse cada vez que Windows se inicia.

Bagle.BC elimina las entradas del Registro de Windows correspondientes a otros gusanos, particularmente variantes de Netsky. Más concretamente, busca en las siguientes rutas:

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

entradas con las siguientes cadenas de texto:
9XHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, service, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex.

De esta forma, consigue que dichos gusanos no se ejecuten cuando Windows se inicia.

Metodo de propagación:

Bagle.BC se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.BC realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de características variables, escrito en inglés:

    Remitente:
    Bagle.BC falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: uno de los siguientes:
    Re:
    Re:Hello
    Re:Hi
    Re:Thank you!
    Re:Thanks:)

    Contenido: uno de los siguientes:
    :)
    :))

    Archivo adjunto: tiene un nombre y una extensión variables:
    Posibles nombres: JOKE, PRICE.
    Posibles extensiones: COM, CPL, EXE, SCR.
  • El ordenador es afectado cuando el archivo adjunto es ejecutado.
  • Bagle.BC busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
  • Bagle.BC se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
  • Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
    @avp., @foo, @hotmail, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip.

 

2.- Propagación a través de programas de intercambio de archivos.

Bagle.BC realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios que contengan la cadena de texto shar. De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos. Utiliza los siguientes nombres de archivo:

    ACDSee 9.exe
    Adobe Photoshop 9 full.exe
    Ahead Nero 7.exe
    Kaspersky Antivirus 5.0
    KAV 5.0
    Matrix 3 Revolution English Subtitles.exe
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft Office XP working Crack, Keygen.exe
    Microsoft Windows XP, WinXP Crack, working Keygen.exe
    Opera 8 New!.exe
    Porno pics arhive, xxx.exe
    Porno Screensaver.scr
    Porno, sex, oral, anal cool, awesome!!.exe
    Serials.txt.exe
    WinAmp 5 Pro Keygen Crack Update.exe
    WinAmp 6 New!.exe
    Windown Longhorn Beta Leak.exe
    Windows Sourcecode update.doc.exe
    XXX hardcore images.exe
  • Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.BC, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.BC.

Otros detalles:

Bagle.BC tiene un tamaño de entre de 18000 y 22000 Bytes, y está comprimido mediante PeX.

Bagle.BC crea un mutex para asegurarse de que no hay más de una copia del gusano ejecutándose al mismo tiempo. Emplea uno de los siguientes nombres para, adicionalmente, conseguir que no puedan ejecutarse algunas variantes de Netsky:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D',r',o',p',p',e',d',S'k',y',N',e',t'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork