 W32/Bagle-Zip |
Bienvenido, invitado ( Identificarse | Registrarse )
  |
 Mar 5 2007, 10:09 AM
Publicado:
#1
|
|
 Webmaster  Grupo: Webmaster Mensajes: 5,018 Registrado: 13-February 06 Desde: Tarragona - España Miembro No.: 1  |
[img]http://www.pcultimate.net/index.php?autocom=tutorials&CODE=13&image_id=61[/img]
Título :: W32/Bagle-Zip Autor :: Black Dragon Categoría :: Analisis virus Ingredientes ::
Descripción de la activación y eliminación de este virus W32/Bagle-ZipSe detecta como W32/Bagle-Zip el archivo ZIP con contraseña enviado por W32/Bagle-F, W32/Bagle-G, W32/Bagle-H, W32/Bagle-I, W32/Bagle-J y W32/Bagle-K (comprimidos Zip), W32/Bagle-N, W32/Bagle-O (comprimidos Zip y Rar), W32/Bagle-W, W32/Bagle-AA, W32/Bagle-AF y W32/Bagle-AG. Es un gusano de email que se envía mediante su propio programa de correo SMTP a todas las direcciones encontradas en el disco duro. W32/Bagle-F y variantes también se extiende a través de redes de intercambio de archivos. El gusano se copia en la carpeta System de Windows con el nombre I1RU54N.EXE y crea los siguientes archivos en la misma carpeta: CÓDIGO II5NJ4.EXE, archivo DLL usado para cargar GO54O.EXE (detectado por Sophos como W32/Bagle-F) GO54O.EXE, componente principal del gusano I1RU54N4.EXEOPEN, copia del gusano o comprimido ZIP (que podría estar protegido con contraseña) W32/Bagle-F crea la siguiente entrada en el registro para activarse en el inicio del sistema: CÓDIGO HKCU\Software\Microsoft\Windows\CurrentVersion\Run rate.exe = <SYSTEM>\i1ru54n4.exe El gusano también crea la siguiente entrada: CÓDIGO HKCU\Software\winword\frun=1 W32/Bagle-F llega en un email con las siguientes características: Asuntos: Hokki =) Weah, hello! :-) Weeeeee! :))) Hi! :-) My Name is Frenk groom Fotograf Photoalbum My photoalbum Myphotos My photos My beautiful person beautiful Wau... beautiful (-: Gallery photos caroline Katrina kleopatra Caitie Mary-Anne Lisa Bad girl Julie Aline Anna Barbi Katrina Juli Mary Mandy Sara rebecca Jammie kate Audra stacy Rena Kelley Tammy ello! =)) Hey, ya! =)) ^_^ meay-meay! ^_^ meay-meay! ^_^ mew-mew (-: Hey, dude, it's me ^_^ :P ---------------------------- Se copia en todas las carpetas con la cadena de texto 'shar', por ejemplo C:\Archivos de programa\Common files\Microsoft shared, con los siguientes nombres: Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Porno pics arhive, xxx.exe Serials.txt.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Opera 8 New!.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Matrix 3 Revolution English Subtitles.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe ACDSee 9.exe W32/Bagle-F abre el puerto 2745 y aguarda las instrucciones del atacante, que podría copiar y ejecutar archivos. El gusano contactará con un sitio Web para comunicar su disponibilidad y ubicación. W32/Bagle-F terminará los siguientes procesos: ATUPDATER.EXE AVWUPD32.EXE AVPUPD.EXE LUALL.EXE DRWEBUPW.EXE ICSSUPPNT.EXE ICSUPP95.EXE UPDATE.EXE NUPGRADE.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE CFIAUDIT.EXE MCUPDATE.EXE NUPGRADE.EXE OUTPOST.EXE AVLTMAIN.EXE ---------------------------- Desinfeccion W32/bagle-zip y variantes 1. Descargar el Remover1 y Remover2 y ejecutarlo Ver Tutorial |
 |
 
|
|
