Bagle.C

Peligrosidad

Media

Propagación:

Media

Daño

Medio

Efectos:

Bagle.C realiza las siguientes acciones:

Crea un backdoor que abre el puerto TCP 2745.
Intenta conectarse a varias páginas web que albergan un script PHP:
http://permail.uni-muenster.de/scr.php
http://www.songtext.net/de/scr.php
http://www.sportscheck.de/scr.php

De este modo, notifica a su autor que el ordenador afectado puede ser accedido a través del puerto que ha abierto.
Termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus:
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
Este gusano sólo se ejecuta si la fecha del sistema es menor o igual al 14 de marzo de 2004. Después de esta fecha, el gusano termina su ejecución.
Abre el programa Bloc de Notas la primera vez que es ejecutado.

Método de Infección:

Bagle.C crea los siguientes archivos en el directorio de sistema de Windows:

README.EXE. Este archivo es una copia del gusano.
DOC.EXE y ONDE.EXE. Estos archivos son librerías de soporte.
README.EXEOPEN. Este archivo contiene el gusano comprimido en formato ZIP, que será el que se envíe por correo electrónico.

Bagle.C crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
gouday.exe = %sysdir%\ readme.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Bagle.C se asegura de que es ejecutado cada vez que Windows se inicia.
HKEY_CURRENT_USER\ SOFTWARE\ DateTime2
uid = %aleatorio%
donde %aleatorio% es un valor aleatorio.

HKEY_CURRENT_USER\ SOFTWARE\ DateTime2
port = 2745
HKEY_CURRENT_USER\ Software\ DateTime2
frn = 1
Bagle.C crea esta entrada para indicar que ya ha afectado al ordenador.

Método de Propagación:

Bagle.C se propaga a través del correo electrónico. Realiza el siguiente proceso:

Llega al ordenador en un mensaje escrito en inglés con las siguientes características:

Remitente:
Bagle.C falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

Asunto: uno de los siguientes:
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he

Contenido: el mensaje se envía sin contenido en el cuerpo.

Archivo adjunto:
El archivo adjunto tiene un nombre con varios caracteres aleatorios, pero que siempre tiene extensiónZIP. Tiene el mismo icono que una hoja de cálculo de Excel.
Una vez ejecutado, el ordenador queda afectado.
Bagle.C busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, DBX, EML, HTM, HTML, MDX, MMF, NCH, ODS, PHP, PL, SHT, TXT y WAB.
Bagle.C se envía a sí mismo a todas las direcciones de correo que ha recogido, emplendo para ello su propio motor SMTP, pero exceptuando aquellas que que pertenecen a los siguientes dominios: hotmail.com, msn.com, microsoft.com y avp.com, o contienen alguna de las siguientes cadenas de texto: local, noreply, postmaster@, root@.
El gusano realiza consultas MX para obtener las direcciones IP de los dominios de correo.

Otros Detalles:

Bagle.C está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 15872 Bytes.

Bagle.C intenta localizar la ventana que tiene por nombre Shell_TrayWnd, así como el mutex imain_mutex. Además, realiza una búsqueda de procesos cuyo archivo ejecutable sea DOC.EXE.

Cuando es ejecutado, Bagle.C comprueba los parámetros de la línea de comandos desde donde ha sido llamado, que le permite actualizarse o borrarse a sí mismo.

Para conseguir la mayor seguridad y protección en tu ordenador, aprende a reconocer el virus W32/Bagle.C.worm , del tipo Gusano,, con la "Enciclopedia de virus" de HispaVista AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.

Y no pierdas de vista los últimos virus aparecidos:
ImageAccesActiveXObject	SecAdv935423	Nurech.Z	Artesimda.A	Ldpinch.AAI

Comprar y vender

ADSL, Alquiler Coches, Clasificados, Coches, Coleccionismo, Comprar, Dominios, Fotografia, HispaVista Empresas, Hosting, Inmobiliaria, M�viles, Telefon�a, Viajes

Comunicaci�n y utilidades

Agenda, Alojamiento web, Alquiler DVD, Antivirus, Chat, Correo, Foros, HispaVista, Logos y Melod�as, Neopolis, Postales, Solidaridad y ONGs, Videos Tu.Tv

Informaci�n

Alarmas Hogar, Blog, Callejero, El Tiempo, Formaci�n, Gu�a - Buscador, Hor�scopo, La Bolsa, Loter�as, Noticias, Ofertas, Ofertas de Trabajo, P�ginas Amarillas

Ocio

Amor y pareja, Apuestas, Bingo, Blog, Busco pareja, Casino, Cine, Crear paginas web gratis, Fotos de chicas, Juegos, Mujer, M�sica, Poker, Software, Tragaperras, Turismo