w32.beagle.a@mm
tipo: virus
tama?o: 15,360 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 13/07/2004
w32/bagle.aa@mm, es un virus que se difunde a trav?s de envio masivos de e-mails. busca direcciones de e-mail en todos los archivos que tengan las siguientes extensiones .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp
caracter?sticas del mensaje de e-mail:
asunto: [ alguno de los siguientes]
re: msg reply re: hello re: yahoo! re: thank you! re: thanks :) re: text message re: document incoming message re: incoming message re: incoming msg re: message notify notification changes.. update fax message protected message re: protected message forum notify site changes re: hi encrypted document cuerpo: [alguno de los siguientes]
attach tells everything. attached file tells everything. check attached file for details. check attached file. here is the file. message is in attach more info is in attach pay attention at the attach. please, have a look at the attached file. please, read the document. read the attach. see attach. see the attached file for details. your document is attached. your file is attached. si el adjunto es un archivo zip, el cuerpo del email puede ser alguno de los siguientes seguido por un archivo de imagen pegado como loader_name.exeopenopen:
for security reasons attached file is password protected. the password is for security purposes the attached file is password protected. password -- note: use password attached file is protected with the password for security reasons. password is in order to read the attach you have to use the following password: archive password: password password: archivo adjunto: [alguno de los siguientes con extensi?n .hta, .vbs, .exe, .scr, .com, .cpl, .zip]
information details text_document updates readme document info moreinfo message -----------------------
cuando el gusano se ejecuta muestra el siguiente falso mensaje de error:
error!
can t find a viewer associated with the file
[ ok ]
seguidamente crea varios mutex que previenen que alguna variante del netsky se ejecute.
muxxxxtenyksdesignedasthefollowerofskynet-d droppedskynet -ooaxx|-+s+-+k+-+y+-+n+-+e+-+t+-|xxkoo-_ [skynet.cz]systemsmutex admskynetjkls003 ____--->>>>u<<<<--____ _-oo]xx|-s-k-y-n-e-t-|xx[oo-_ luego se copia a si mismo como:
system \loader_name.exe
system \loader_name.exeopen
system \loader_name.exeopenopen
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema
hkey_current_user\software\microsoft\windows\currentversion\run
reg_key= system \loader_name.exe
luego borra los siguientes valores:
my av zone labs client ex 9xhtprotect antivirus special firewall service service tiny av icqnet htprotect netdy jammer2nd firewallsvr msinfo sysmonxp easyav pandaavengine norton antivirus av kasperskyaveng skynetsrevenge icq net que encuentre en las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_current_user\software\microsoft\windows\currentversion\run
seguidamente el gusano abre el puerto tcp que permite que el computador atacado sea utilizado como un email relay.
tambi?n el gusano intenta crear varias copias de si mismo en las carpetas que en su nombre tengan el siguiente texto shar, los archivos pueden tener los siguientes nombres:
microsoft office 2003 crack, working!.exe microsoft windows xp, winxp crack, working keygen.exe microsoft office xp working crack, keygen.exe porno, sex, oral, anal cool, awesome!!.exe porno screensaver.scr serials.txt.exe kav 5.0 kaspersky antivirus 5.0 porno pics arhive, xxx.exe windows sourcecode update.doc.exe ahead nero 7.exe windown longhorn beta leak.exe opera 8 new!.exe xxx hardcore images.exe winamp 6 new!.exe winamp 5 pro keygen crack update.exe adobe photoshop 9 full.exe matrix 3 revolution english subtitles.exe acdsee 9.exe
|
