»

Bagle.HX. Gusano de Internet y caballo de Troya

Computadores Computadores Colombia | Diseño de paginas web | Mantenimiento de Computadores | Web Hosting | Comprar Dominio | Recuperar Archivos Borrados | Descargar Firefox | Descargar NOD32 Antivirus | NOD32 Antivirus | NOD32 Antivirus | Polygamy | Descargar Nero | Descargar Messenger | Descargar Norton | Descargar McAfee |  

Wilkinsonpc - Computadores Portatiles Recuperar archivos Diseño de paginas web Dominio Hosting
Principal | Servicio al Cliente | Ultimas Noticias! | Ofertas por E-mail | Entrar
ContáctenosConozca Como comprar aquí
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
ComunidadNoticiasAyuda
Bagle.HX. Gusano de Internet y caballo de Troya
Principal
Ayuda
Iniciar sesión
Registrarse
Usted es un Invitado
Puede publicar mensajes sin registrarse
Ya está registrado? entonces Identifíquese.
 09.01.2009 a las 16:14:26

Atencion, si su requerimiento o solicitud tiene que ver con el area de ventas de productos ó servicios, por favor utilice los formularios de la seccion de contacto. En este foro no se responden casos comerciales, SIN EXCEPCION.

ForosNoticias de actualidadUltimas Amenazas de virus
(Moderador: W-Bot) 		‹ Sin temas | Tema Siguiente

Páginas: 1
Responder Crear Tema

Bagle.HX. Gusano de Internet y caballo de Troya

 (Leido 398 veces)
W-Bot
Administrador
*****




Mensajes: 5245
Bagle.HX. Gusano de Internet y caballo de Troya
17.02.2007 a las 23:24:48  
Nombre: Bagle.HX
Nombre NOD32: Win32/Bagle.HX
Tipo: Caballo de Troya y gusano de Internet
Alias: Bagle.HX, HEUR/Crypted, I-Worm/Bagle.QI, Trj/Mitglieder.NA, Trojan/Downloader.Bagle.bp, TrojanDownloader.Win32.Bagle.29BF, Trojan-Downloader.Win32.Bagle.bp, W32/Beagle.HW@mm, W32/Mitglied.ACP, Win32.Bagle.IB@mm, Win32.HLLM.Beagle, Win32/Bagle.HX, Win32/Glieder.FA
Fecha: 16/feb/07
Plataforma: Windows 32-bit
Tamaño: 226,019 bytes
 
Se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".
 
El primero es un "downloader", un troyano que descarga otro de los componentes del gusano, un segundo downloader.
 
Cuando el segundo downloader se ejecuta, descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo.
 
Este archivo (el "mass-mailer"), se encarga de propagar al gusano a través de mensajes de correo electrónico.
 
Cuando el gusano es abierto y ejecutado por el usuario, el mismo crea los siguientes archivos en el sistema:
 
    c:\windows\system32\wintems.exe
    [carpeta de usuario]\Application Data\hidires\hidr.exe
    [carpeta de usuario]\Application Data\hidires\m_hook.sys
 
NOTA 1: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
 
NOTA 2: [carpeta de usuario] es una de las siguientes:
 
* Windows XP, 2000 (español e inglés)
 
    c:\documents and settings\all users\
 
    c:\documents and settings\[nombre usuario]\
 
* Windows 95, 98, Me (español e inglés)
 
    c:\windows\all users\
 
    c:\windows\
 
    c:\windows\profiles\[nombre usuario]\
 
El archivo M_HOOK.SYS es un componente rootkit que le permite esconder ciertos procesos, archivos y claves del registro, dificultando su detección y eliminación. Para ello crea el servicio "m_hook", generando la siguiente entrada en el registro:
 
    HKLM\System\CurrentControlSet\Services\m_hook
 
Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas:
 
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    drvsyskit = "[carpeta de usuario]\Application Data\hidires\hidr.exe"
 
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    german.exe = "c:\windows\system32\wintems.exe"
 
También genera la siguiente entrada para almacenar datos de su propia configuración:
 
    HKCU\Software\DateTime4
    port = [valor]
    uid = [valor]
    wdrn = [valor]
 
Cada vez que se ejecuta, el troyano se contacta con los siguientes sitios enviando información a un script CGI sobre el equipo infectado (tipo de conexión, sistema operativo, puerto, hora local, etc.), para luego intentar descargar y ejecutar otros archivos:
 
    http: // 8marta .ru/
    http: // asvt .ru/
    http: // avistrade .ru/
    http: // avistrade .ru/
    http: // calimasurf .com/
    http: // celebrationsinspain .com/
    http: // coral-adventures .com/
    http: // dearruthie .com/
    http: // dmax .ru/images/
    http: // efpa-eg .net/images/
    http: // ferrumcomp .ru/images/
    http: // financialbusiness .ca/
    http: // golden-ring .net/
    http: // goodbathscents .com/
    http: // jamminjo .com/images/
    http: // kmold .biz/images/
    http: // kokon .com/images/
    http: // komt .ru/images/
    http: // magian .ru/images/
    http: // merkur-akademie .de/
    http: // mir-vesov .ru/
    http: // monomah-city .ru/
    http: // nakorable .ru/
    http: // optimsasia .com/
    http: // pvcps .ru/
    http: // raz-naraz .wz .cz/
    http: // redshop .ru/
    http: // roszvetmet .com/
    http: // schiffsparty .de/
    http: // sdom .ru/
    http: // service6 .valuehost .ru/
    http: // spbso .ru/
    http: // stroyindustry .ru/
    http: // tarkan .ru/
    http: // transaerotours .ru/
    http: // trehrechie .ru/
    http: // turnstylesticketing .com/
    http: // twilightzone .cz/
    http: // vladzernoproduct .ru/
    http: // vniipo .ru/
    http: // voelckergmbh .de/
    http: // vserozetki .ru/
    http: // vtr-spb .ru/fp/
    http: // www .13tw22rigobert .de/
    http: // www .belteh .ru/
    http: // www .bmblawfirm .com/
    http: // www .deadlygames .de/
    http: // www .emil-zittau .de/
    http: // www .enertelligence .com/
    http: // www .etype .hostingcity .net/
    http: // www .ipromocionales .com/
    http: // www .katjas-reisen .de/
    http: // www .levada .ru/
    http: // www .mirage .ru/
    http: // www .moscowapartments .ru/
    http: // www .ordendeslichts .de/
    http: // www .pechki .ru/
    http: // www .rhone .ch/
    http: // www .zdom .ru/
 
Intenta finalizar todos los procesos activos con los siguientes nombres (la mayoría antivirus y cortafuegos):
 
    _AVP32.EXE
    _AVPCC.EXE
    _AVPM.EXE
    a2guard.exe
    aavshield.exe
    AckWin32.exe
    ADVCHK.EXE
    AhnSD.exe
    airdefense.exe
    ALERTSVC.EXE
    ALMon.exe
    ALOGSERV.EXE
    ALsvc.exe
    amon.exe
    Anti-Trojan.exe
    AntiVirScheduler
    AntiVirService
    ANTS.EXE
    APVXDWIN.EXE
    Armor2net.exe
    ashAvast.exe
    ashDisp.exe
    ashEnhcd.exe
    ashMaiSv.exe
    ashPopWz.exe
    ashServ.exe
    ashSimpl.exe
    ashSkPck.exe
    ashWebSv.exe
    aswUpdSv.exe
    ATCON.EXE
    ATUPDATER.EXE
    ATWATCH.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    avciman.exe
    Avconsol.exe
    AVENGINE.EXE
    avgamsvr.exe
    avgcc.exe
    AVGCC32.EXE
    AVGCTRL.EXE
    avgemc.exe
    avgfwsrv.exe
    AVGNT.EXE
    avgntmgr
    AVGSERV.EXE
    AVGUARD.EXE
    avgupsvc.exe
    avinitnt.exe
    AvkServ.exe
    AVKService.exe
    AVKWCtl.exe
    AVP32.EXE
    avpcc.exe
    avpm.exe
    AVPUPD.EXE
    AVSCHED32.EXE
    avsynmgr.exe
    AVWUPD32.EXE
    AVWUPSRV.EXE
    AVXMONITOR9X.EXE
    AVXMONITORNT.EXE
    AVXQUAR.EXE
    BackWeb-4476822.exe
    bdmcon.exe
    bdnews.exe
    bdoesrv.exe
    bdss.exe
    bdsubmit.exe
    bdswitch.exe
    blackd.exe
    blackice.exe
    cafix.exe
    ccApp.exe
    ccEvtMgr.exe
    ccProxy.exe
    ccSetMgr.exe
    CFIAUDIT.EXE
    ClamTray.exe
    ClamWin.exe
    Claw95.exe
    Claw95cf.exe
    cleaner.exe
    cleaner3.exe
    CliSvc.exe
    CMGrdian.exe
    DefWatch.exe
    DOORS.EXE
    DrVirus.exe
    drwadins.exe
    drweb32w.exe
    drwebscd.exe
    DRWEBUPW.EXE
    ESCANH95.EXE
    ESCANHNT.EXE
    ewidoctrl.exe
    EzAntivirusRegistrationCheck.exe
    F-AGNT95.EXE
    FAMEH32.EXE
    FAST.EXE
    FCH32.EXE
    FireSvc.exe
    FireTray.exe
    FIREWALL.EXE
    fpavupdm.exe
    F-PROT95.EXE
    freshclam.exe
    fsav32.exe
    fsavgui.exe
    fsbwsys.exe
    F-Sched.exe
    fsdfwd.exe
    FSGK32.EXE
    fsgk32st.exe
    fsguiexe.exe
    FSM32.EXE
    FSMA32.EXE
    FSMB32.EXE
    fspex.exe
    fssm32.exe
    F-StopW.EXE
    gcasDtServ.exe
    gcasServ.exe
    GIANTAntiSpywareMain.exe
    GIANTAntiSpywareUpdater.exe
    GUARD.EXE
    GUARDGUI.EXE
    GuardNT.exe
    HRegMon.exe
    Hrres.exe
    HSockPE.exe
    HUpdate.EXE
    iamapp.exe
    iamserv.exe
    ICLOAD95.EXE
    ICLOADNT.EXE
    ICMON.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    ICSUPPNT.EXE
    IFACE.EXE
    INETUPD.EXE
    InocIT.exe
    InoRpc.exe
    InoRT.exe
    InoTask.exe
    InoUpTNG.exe
    IOMON98.EXE
    isafe.exe
    ISATRAY.EXE
    ISRV95.EXE
    ISSVC.exe
    JEDI.EXE
    kavmm.exe
    KAVPF.exe
    KavPFW.exe
    KAVStart.exe
    KAVSvc.exe
    KAVSvcUI.EXE
    KMailMon.EXE
    KPfwSvc.EXE
    KWatch.EXE
    livesrv.exe
    LOCKDOWN2000.EXE
    LogWatNT.exe
    lpfw.exe
    LUALL.EXE
    LUCOMSERVER.EXE
    Luupdate.exe
    MCAGENT.EXE
    mcmnhdlr.exe
    mcregwiz.exe
    Mcshield.exe
    MCUPDATE.EXE
    mcvsshld.exe
    MINILOG.EXE
    MONITOR.EXE
    MonSysNT.exe
    MOOLIVE.EXE
    MpEng.exe
    mpssvc.exe
    MSMPSVC.exe
    myAgtSvc.exe
    myagttry.exe
    navapsvc.exe
    NAVAPW32.EXE
    NavLu32.exe
    NAVW32.EXE
    NDD32.EXE
    NeoWatchLog.exe
    NeoWatchTray.exe
    NISUM.EXE
    NMAIN.EXE
    nod32.exe
    nod32krn.exe
    nod32kui.exe
    NORMIST.EXE
    notstart.exe
    npavtray.exe
    NPFMNTOR.EXE
    npfmsg.exe
    NPROTECT.EXE
    NSCHED32.EXE
    NSMdtr.exe
    NssServ.exe
    NssTray.exe
    ntrtscan.exe
    NTXconfig.exe
    NUPGRADE.EXE
    NVC95.EXE
    Nvcod.exe
    Nvcte.exe
    Nvcut.exe
    NWService.exe
    OfcPfwSvc.exe
    OUTPOST.EXE
    PavFires.exe
    PavFnSvr.exe
    Pavkre.exe
    PavProt.exe
    pavProxy.exe
    pavprsrv.exe
    pavsrv51.exe
    PAVSS.EXE
    pccguide.exe
    PCCIOMON.EXE
    pccntmon.exe
    PCCPFW.exe
    PcCtlCom.exe
    PCTAV.exe
    PERSFW.EXE
    pertsk.exe
    PERVAC.EXE
    PNMSRV.EXE
    POP3TRAP.EXE
    POPROXY.EXE
    prevsrv.exe
    PsImSvc.exe
    QHM32.EXE
    QHONLINE.EXE
    QHONSVC.EXE
    QHPF.EXE
    qhwscsvc.exe
    RavMon.exe
    RavTimer.exe
    Realmon.exe
    REALMON95.EXE
    Rescue.exe
    rfwmain.exe
    Rtvscan.exe
    RTVSCN95.EXE
    RuLaunch.exe
    SAVAdminService.exe
    SAVMain.exe
    savprogress.exe
    SAVScan.exe
    SCAN32.EXE
    ScanningProcess.exe
    sched.exe
    sdhelp.exe
    SERVIC~1.EXE
    SHSTAT.EXE
    SiteCli.exe
    SNDSrvc.exe
    SPBBCSvc.exe
    SPHINX.EXE
    spiderml.exe
    spidernt.exe
    Spiderui.exe
    SpybotSD.exe
    SPYXX.EXE
    SS3EDIT.EXE
    stopsignav.exe
    swAgent.exe
    swdoctor.exe
    SWNETSUP.EXE
    symlcsvc.exe
    SymProxySvc.exe
    SymSPort.exe
    SymWSC.exe
    SYNMGR.EXE
    TAUMON.EXE
    TBMon.exe
    TDS-3.EXE
    TeaTimer.exe
    TFAK.EXE
    THAV.EXE
    THSM.EXE
    Tmas.exe
    tmlisten.exe
    Tmntsrv.exe
    TmPfw.exe
    tmproxy.exe
    TNBUtil.exe
    TRJSCAN.EXE
    Up2Date.exe
    UPDATE.EXE
    UpdaterUI.exe
    upgrepl.exe
    Vba32ECM.exe
    Vba32ifs.exe
    vba32ldr.exe
    Vba32PP3.exe
    VBSNTW.exe
    vcrmon.exe
    vchk.exe
    VetTray.exe
    VirusKeeper.exe
    VPTRAY.EXE
    vrfwsvc.exe
    VRMONNT.EXE
    vrmonsvc.exe
    vrrw32.exe
    VSECOMR.EXE
    Vshwin32.exe
    vsmon.exe
    vsserv.exe
    VsStat.exe
    WATCHDOG.EXE
    WebProxy.exe
    Webscanx.exe
    WEBTRAP.EXE
    WGFE95.EXE
    Winaw32.exe
    winroute.exe
    winss.exe
    winssnotify.exe
    WRADMIN.EXE
    WRCTRL.EXE
    xcommsvr.exe
    zatutor.exe
    ZAUINST.EXE
    zlclient.exe
    zonealarm.exe
 
También intenta detener los siguientes servicios relacionados con software de seguridad:
 
    Aavmker4
    ADBLOCK.DLL
    ADFirewall
    Ahnlab task Scheduler
    AlertManger
    AntiVir Service
    AntiyFirewall
    aswUpdSv
    Ati HotKey Poller
    avast! Antivirus
    avast! Mail Scanner
    avast! Web Scanner
    AVEService
    AVExch32Service
    Avg7Alrt
    Avg7Core
    Avg7RsXP
    Avg7UpdSvc
    AVGFwSrv
    AvgFwSvr
    AVIRAMailService
    AVIRAService
    AVUPDService
    AVWUpSrv
    awhost32
    backweb client - 4476822
    BackWeb Client - 7681197
    backweb client-4476822
    Bdfndisf
    BlackICE
    BsFileSpy
    BsFirewall
    BsMailProxy
    ccEvtMgr
    ccPwdSvc
    ccSetMgr
    ccSetMgr.exe
    CONTENT.DLL
    DefWatch
    DNSCACHE.DLL
    drwebnet
    ewido security suite control
    ewido security suite driver
    ewido security suite guard
    firewall
    F-Prot Antivirus Update Monitor
    F-Secure Gatekeeper Handler Starter
    FTPFILT.DLL
    FwcAgent
    Guard NT
    HTMLFILT.DLL
    HTTPFILT.DLL
    IMAPFILT.DLL
    Ip6FwHlp
    KAVMonitorService
    KLBLMain
    KWatchSvc
    MAILFILT.DLL
    McAfee Firewall
    McAfeeFramework
    McShield
    McTaskManager
    mcupdmgr.exe
    Microsoft NetWork FireWall Services
    MonSvcNT
    MpfService
    navapsvc
    Network Associates Log Service
    NNTPFILT.DLL
    NOD32ControlCenter
    NOD32krn
    NOD32Service
    Norman NJeeves
    Norman Type-R
    Norman ZANDA
    Norton AntiVirus Server
    NPDriver
    NPFMntor
    NProtectService
    NVCScheduler
    NWService
    OfcPfwSvc
    Outbreak Manager
    Outpost Firewall
    OutpostFirewall
    PAVAGENTE
    PavAtScheduler
    PAVFIRES
    PAVFNSVR
    PavPrSrv
    PavReport
    Personal Firewall
    POP3FILT.DLL
    PROTECT.DLL
    qhwscsvc
    Quick Heal Online Protection
    RfwService
    SBService
    SECRET.DLL
    SharedAccess
    SharedAccess
    SmcService
    SPBBCSvc
    SpiderNT
    SweepNet
    SWEEPSRV.SYS
    Symantec AntiVirus Client
    Symantec Core LC
    The_Hacker_Antivirus
    V3MonSvc
    Vba32ECM
    Vba32ifs
    Vba32Ldr
    Vba32PP3
    VBCompManService
    VexiraAntivirus
    VisNetic AntiVirus Plug-in
    WinAntivirus
    WinRoute
    wscsvc
    wuauserv
    wuauserv
 
--------------------------------------------------------------------------------
-------------------
REPARACION MANUAL
 
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
--------------------------------------------------------------------------------
-------------------
Borrar manualmente archivos agregados por el virus
 
Desde el Explorador de Windows, localice y borre los archivos detectados por el Antivirus.
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
 
Editar el registro de Windows
 
 Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
 
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
 
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
 
    HKEY_CURRENT_USER
    \Software
    \DateTime4
 
3. Haga clic en la carpeta "DateTime4" y bórrela.
 
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
 
    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows
    \CurrentVersion
    \Run
 
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 6 del ítem "Antivirus".
 
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
 
    HKEY_LOCAL_MACHINE
    \SYSTEM
    \CurrentControlSet
    \Services
    \m_hook
 
7. Haga clic en la carpeta "m_hook" y bórrela.
 
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
 
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
 
 
Fuente: VSANTIVIRUS

 
!!! IMPORTANTE !!!
Ahora siga los PROCEDIMIENTOS DE REPARACION MANUAL RECOMENDADOS POR WILKINSONPC

 
Archivo HOSTS | Antivirus NOD32 | Agnitum Outpost Firewall
Subir al inicio
 
 
WWW   IP Logged
Páginas: 1
Responder Crear Tema
ForosNoticias de actualidadUltimas Amenazas de virus
(Moderador: W-Bot) 		‹ Sin temas | Tema Siguiente


  Términos Legales  |  Privacidad  |  Derechos Reservados  |  Mapa  |  Tema:

Bagle.HX. Gusano de Internet y caballo de Troya

Wilkinsonpc | PBX: 2574914 | Moviles: 300 5005001 - 312 5335179 | Calle 82 # 19A-42 Bogotá - Colombia
© 1998 Wilkinsonpc limitada. Todos los Derechos Reservados. Aviso Legal
* Todas las firmas, nombres de productos, marcas y marcas registradas pertenecen a sus respectivos dueños.
* YaBB © 2000. All Rights Reserved. Powered by YaBB

Noticias de actualidad Noticias de Actualidad Informatica | Noticias de programas | Noticias de Ultimas Amenazas de virus | Alertas y Fallos de Seguridad | Noticias de Ciencia y Tecnología
Soporte Técnico Soporte Tecnico Drivers o Controladores | Soporte Tecnico Computadores | Soporte Tecnico Partes de Computadores | Soporte Tecnico en Impresoras | Soporte Tecnico en Redes | Accesorios y suministros | HijackThis - Analisis y ayuda | Errores de Windows
Recursos Gratuitos Programas Windows | Juegos de computador | Articulos de informatica | Trucos de windows | Manuales de programas | Glosario de términos | Libros electrónicos [eBooks] Gratis
Foros de los Usuarios Sistemas de sonido para autos
Nuestra red de sitios web
»

mongolandia.com -

Programas gratis
»

qubitaria.com -

Noticias de tecnologia
»

tuyoesmicorazon.com -

Buscar pareja
»

traficamos.com -

Subastas sin comisiones
»

wilkinsonpc.com.co -

Computadores Recuperar archivos Hosting
»

bajaryoutube.com -

Bajar videos de Youtube
»

zonaswifi.com -

Puntos de acceso wifi gratis
»

asunombregloria.com -

Cristianos Videos Cristianos
»

misruedas.com -

Venta de Carros Usados en Colombia
»

pueblogs.com -

Blogs gratuitos en español
»

encuentratuvivienda.com -

Venta alquiler casas apartamentos
»

vivetumoto.com -

Club de Motos Paseos en Moto
»

tusultimosdeseos.com -

Tu testamento Gratis en Internet
»

mongolandia.com -

Descargar Google Chrome
»

vivetucarro.com -

Comunidad mundial de automovilistas
»

ultimasnovedades -

Ultimas Novedades