• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Aparece una nueva variante del virus Bagle "H.E."

    Hola. Nombre: Bagle.HE Nombre NOD32: Win32/Bagle.HE Tipo: Gusano de Internet y caballo de Troya Alias: Bagle.HE, DeepScan:Generic.Mitglied.9C1ED060, Email-Worm.Win32.Bagle.gt, I-Worm.Bagle.gt, I-Worm.Bagle.LC, I-Worm/Bagle, MalwareScope.Trojan-PSW.LdPinch.1, TR/Bagle.GD, W32.Bagle.FY, W32/Bagle.gen, [email protected], W32/Bagle.KT.worm, W32/Bagle-QW, W32/Malware.EKN, W32/Mitglieder.UZ, Win32.Bagle.gt, Win32.HLLM.Beagle, Win32/Bagle.EM, Win32/Bagle.EM!Worm, Win32/Bagle.gen, ...

          
    1. #1
      Usuario Avatar de emigasei67
      Registrado
      jun 2006
      Ubicación
      españa
      Mensajes
      381

      Mensaje Aparece una nueva variante del virus Bagle "H.E."

      Hola.


      Nombre: Bagle.HE
      Nombre NOD32: Win32/Bagle.HE
      Tipo: Gusano de Internet y caballo de Troya
      Alias: Bagle.HE, DeepScan:Generic.Mitglied.9C1ED060, Email-Worm.Win32.Bagle.gt, I-Worm.Bagle.gt, I-Worm.Bagle.LC, I-Worm/Bagle, MalwareScope.Trojan-PSW.LdPinch.1, TR/Bagle.GD, W32.Bagle.FY, W32/Bagle.gen, [email protected], W32/Bagle.KT.worm, W32/Bagle-QW, W32/Malware.EKN, W32/Mitglieder.UZ, Win32.Bagle.gt, Win32.HLLM.Beagle, Win32/Bagle.EM, Win32/Bagle.EM!Worm, Win32/Bagle.gen, Win32/Bagle.HE, Win32:Beagle-NK, Worm.Bagle
      Fecha: 12/dic/06
      Plataforma: Windows 32-bit
      Tamaño: 40,565 bytes (CPACK)

      15 Dic 2006, 09:45 | Fuente: VS ANTIVIRUS

      Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

      El primero es un "downloader", un troyano que probablemente es enviado en forma de spam, y que descarga otro de los componentes del gusano.

      Cuando el downloader se ejecuta, descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo:

      c:\windows\system32\[nombre].exe

      Este archivo es el componente que se encarga del envío masivo de mensajes desde la máquina infectada (mass-mailer).

      Los mensajes enviados, tendrán como "Asunto:", uno de los siguientes:

      new ??-???-????
      price??-???-????
      price_ ??-???-????
      price_new ??-???-????

      El nombre del archivo adjunto (un archivo .ZIP con contraseña), será uno de los siguientes:

      new_price??-???-????.zip
      price_list??-???-????.zip
      latest_price??-???-????.zip

      Donde ??-???-???? es la fecha de envío del mensaje en el siguiente formato:

      30-Nov-2006

      El texto del mensaje será uno de los siguientes:

      It Is Protected
      Passwrd: [imagen]

      thank you !!!
      Passwrd: [imagen]

      New year's discounts
      Passwrd: [imagen]

      Donde [imagen] es una imagen con la contraseña de 6 dígitos que deberá ser ingresada para abrir el .ZIP.

      Cuando el adjunto es abierto por el usuario, y el .EXE contenido en el .ZIP ejecutado, se crearán los siguientes archivos en el sistema infectado:

      [Application Data]\hidn\hidn2.exe
      [Application Data]\hidn\hldrrr.exe

      La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:

      C:\Documents and Settings\[Usuario]
      \Configuración local\Application Data

      C:\WINDOWS\Application Data

      Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro:

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      drv_st_key = "[Application Data]\hidn\hidn2.exe"

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      drv_st_key = "[Application Data]\hidn\hidn2.exe"

      También puede crear o modificar las siguientes entradas:

      HKCU\Software\FirstRun

      HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
      Start = "4"

      El gusano puede descargar otras versiones de si mismo desde una lista predeterminada de direcciones de Internet.

      También borra múltiples entradas del registro, relacionadas con otros gusanos, e intenta desactivar la ejecución de algunos servicios relacionados con programas de seguridad.

      Las máquinas infectadas, pueden ser utilizadas como proxys, para el envío de nuevas versiones del gusano en forma de spam.


      Saludos.

    2. #2
      Usuario Avatar de Mac martin
      Registrado
      nov 2006
      Ubicación
      Caracas
      Mensajes
      6

      Bien Re: Aparece una nueva variante del virus Bagle "H.E."

      Ante todo Una Feliz Navidad Y Prospero año para todos mis Cibernautas quiero Tambien decirles que hay un archivito en forma de Arbolito Navideño que pulula en muchas maquinas que e visto no sera una especie de crono virus para activarse en una fecha especifica por favor podrian actualizarnos el que sepa de algo nuevo como eso por favor y muchas gracias de antemano.