publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Bagle.D

Virus Bagle.D

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy baja Propagación Propagación muy baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Bagle.D realiza las siguientes acciones:

  • Crea un backdoor que abre el puerto TCP 2745.
  • Intenta conectarse a varias páginas web que albergan un script PHP:
    http://permail.uni-muenster.de/scr.php
    http://www.songtext.net/de/scr.php
    http://www.sportscheck.de/scr.php

    De este modo, notifica a su autor que el ordenador afectado puede ser accedido a través del puerto que ha abierto.
  • Termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus:
    ATUPDATER.EXE
    ATUPDATER.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    AVLTMAIN.EXE
    AVPUPD.EXE
    AVWUPD32.EXE
    AVXQUAR.EXE
    CFIAUDIT.EXE
    DRWEBUPW.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    LUALL.EXE
    MCUPDATE.EXE
    NUPGRADE.EXE
    NUPGRADE.EXE
    OUTPOST.EXE
    UPDATE.EXE
  • Este gusano sólo se ejecuta si la fecha del sistema es menor o igual al 14 de marzo de 2004. Después de esta fecha, el gusano termina su ejecución.
  • Abre el programa Bloc de Notas la primera vez que es ejecutado.

Metodo de infección:

Bagle.D crea los siguientes archivos en el directorio de sistema de Windows:

  • README.EXE. Este archivo es una copia del gusano.
  • DOC.EXE y ONDE.EXE. Estos archivos son librerías de soporte.
  • README.EXEOPEN. Este archivo contiene el gusano comprimido en formato ZIP, que será el que se envíe por correo electrónico.

Bagle.D crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    gouday.exe = %sysdir%\ readme.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Bagle.D se asegura de que es ejecutado cada vez que Windows se inicia.
  • HKEY_CURRENT_USER\ SOFTWARE\ DateTime3
    uid = %aleatorio%
    donde %aleatorio% es un valor aleatorio.
  • HKEY_CURRENT_USER\ SOFTWARE\ DateTime3
    port = 2745
  • HKEY_CURRENT_USER\ Software\ DateTime3
    frn = 1
    Bagle.D crea esta entrada para indicar que ya ha afectado al ordenador.

Metodo de propagación:

Bagle.D se propaga a través del correo electrónico. Realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:

    Remitente:
    Bagle.D falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Asunto: uno de los siguientes:
    Accounts department
    Ahtung!
    Camila
    Daily activity report
    Flayers among us
    Freedom for everyone
    From Hair-cutter
    From me
    Greet the day
    Hardware devices price-list
    Hello my friend
    Hi!
    Jenny
    Jessica
    Looking for the report
    Maria
    Melissa
    Monthly incomings summary
    New Price-list
    Price
    Price list
    Pricelist
    Price-list
    Proclivity to servitude
    Registration confirmation
    The account
    The employee
    The summary
    USA government abolishes the capital punishment
    Weekly activity report
    Well...
    You are dismissed
    You really love me? he he

    Contenido: el mensaje se envía sin contenido en el cuerpo.


    Archivo adjunto:
    El archivo adjunto tiene un nombre con varios caracteres aleatorios, pero que siempre tiene extensión ZIP. Tiene el mismo icono que una hoja de cálculo de Excel.
  • Una vez ejecutado, el ordenador queda afectado.
  • Bagle.D busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, DBX, EML, HTM, HTML, MDX, MMF, NCH, ODS, PHP, PL, SHT, TXT y WAB.
  • Bagle.D se envía a sí mismo a todas las direcciones de correo que ha recogido, emplendo para ello su propio motor SMTP, pero exceptuando aquellas que que pertenecen a los siguientes dominios: hotmail.com, msn.com, microsoft.com y avp.com, o contienen alguna de las siguientes cadenas de texto: local, noreply, postmaster@, root@.
  • El gusano realiza consultas MX para obtener las direcciones IP de los dominios de correo.

Otros detalles:

Bagle.D está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 15872 Bytes.

Bagle.D intenta localizar la ventana que tiene por nombre Shell_TrayWnd, así como el mutex iain_m2. Además, realiza una búsqueda de procesos cuyo archivo ejecutable sea DOC.EXE.

Cuando es ejecutado, Bagle.D comprueba los parámetros de la línea de comandos desde donde ha sido llamado, que le permiten actualizarse o borrarse a sí mismo.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork