Anti Pop-ups y Antivirus gratis: descárgate la barra Haz de HispaVista tu página de inicio

INICIO

INFORMACION

- Últimas amenazas

- Virus activos

- Hoaxes: falsos virus

- Enciclopedia de virus

- Noticias

- Glosario

TIENDA ANTIVIRUS

- Panda Antivirus + Firewall 2007

- Panda Internet Security 2007

UTILIDADES

- Chequea tu PC

- Virusómetro

- Mapa de Infecciones

- Descargas

- Elimina tu virus

Buscar en la Enciclopedia de virus:

Bagle.O

Peligrosidad Alta

Alta

Propagación: Alta

Alta

Daño

Alto

Efectos:

Bagle.O realiza las siguientes acciones:

Infecta ficheros PE, incrementando su tamaño en 44 KBytes.
Crea un backdoor que abre el puerto TCP 2556.
Termina los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema, entre otros:
AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET.EXE, CFINET32.EXE, CFINET32.EXE, CLEAN.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANER3.EXE, CLEANPC.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMGRDIAN.EXE, CMON016.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE,PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.

Método de Infección:

Bagle.O crea los siguientes ficheros en el directorio de sistema de Windows:

WINUPD.EXE. Este fichero es una copia del gusano.
WINUPD.EXEOPEN y WINUPD.EXEOPENOPEN. Estos ficheros son copias del gusano, comprimidas en formato ZIP o RAR, que serán enviadas a través del correo electrónico.
WINUPD.EXEOPENOPENOPEN. Se trata de un fichero gráfico.

Bagle.O crea la siguiente entrada en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winupd.exe= %sysdir%\ winupd.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Bagle.O se asegura de que es ejecutado cada vez que se inicia Windows.

Bagle.O borra las siguientes entradas del Registro de Windows, si existen:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
9XHtProtect
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
9XHtProtect
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Antivirus
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Antivirus
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HtProtect
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HtProtect
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQ Net
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQ Net
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQNet
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQNet
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
My AV
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
My AV
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Special FirewallService
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Special Firewall Service
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Tiny AV
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Tiny AV
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client Ex
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client Ex
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
service
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
service
Estas entradas pertenecen a diferentes variantes del gusano Netsky.

Método de Propagación:

Bagle.O se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.O realiza el siguiente proceso:

Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:

Remitente:
Bagle.O falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Además, Bagle.O puede utilizar cualquiera de los siguientes remitentes:
administration@%dominio%
management@%dominio%
noreply@%dominio%
staff@%dominio%
support@%dominio%
antivirus@%dominio%
antispam@%dominio%
donde %dominio% es el dominio de correo del receptor.

Asunto: uno de los siguientes:
Account notify
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account.

Contenido: está compuesto una frase de cada una de las siguientes listas:
Lista 1: saludo
Dear user of %dominio%,
Dear user of %dominio% gateway e-mail server,
Dear user of e-mail server "%dominio%",
Hello user of %dominio% e-mail server,
Dear user of "%dominio%" mailing system,
Dear user, the management of %dominio% mailing system wants tolet you know that
donde %dominio% es el dominio de correo del receptor.

Lista 2: mensaje principal
Your e-mail account has been temporary disabled because of unauthorized access.

Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.

Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.

We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.

Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computersoftware.

Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.

Lista 3: información del adjunto
Advanced details can be found in attached file.
Find the white rabbit.
Follow the wabbit.
For details see the attach.
For details see the attached file.
For further details see the attach.
For more information see the attached file.
Further details can be obtained from attached file.
Here is the file.
Message is in attach
More info in attach
Pay attention on attached file.
Please, have a look at the attached file.
Please, read the attach for further details.
Read the attach.
See attach.
See the attached file for details.
Your file is attached.

List 4: información de la contraseña
El elemento de esta lista sólo aparece cuando la extensión del adjunto es ZIP o RAR.
Password: %contraseña%
Pass - %contraseña%
Password - %contraseña%
For security reasons attached file is password protected. The password is %imagen adjunta insertada%
For security purposes the attached file is password protected. Password -- %imagen adjunta insertada%
Attached file is protected with the password for security reasons. Password is %imagen adjunta insertada%
In order to read the attach you have to use the following password: %imagen adjunta insertada%
Archive password: %imagen adjunta insertada%
Password - %imagen adjunta insertada%
Password: %imagen adjunta insertada%
donde %contraseña% es la contraseña necesario para descomprimir el archivo adjunto. Si el ordenador desde el que se envía el correo tiene el archivo de sistema GDIPLUS.DLL , esta contraseña se puede dar dentro de una imagen %imagen adjunta insertada%.

List 5: closing
The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,
Yours,
Para finalizar, se incluye el siguiente texto:
The %dominio% team http://www.%dominio%
donde%dominio% es el dominio de correo del receptor.

Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
Posibles nombres: ATTACH, DETAILS, DOCUMENT, ENCRYPTED, FIRST_PART, GIFT,INFO, INFORMATION, MESSAGE, MOREINFO, PUB_DOCUMENT, README, TEXT, TEXT_DOCUMENT o TEXTDOCUMENT. Posibles extensiones: EXE, PIF, ZIP o RAR.
Si el ordenador desde el cual se envía el correo tiene el archivo de sistema GDIPLUS.DLL, la contraseña usada para descomprimir el archivo adjunto, se puede enviar asjunta al mensaje como un archivo gráfico con extensión BMP, JPG o GIF.
El ordenador es afectado cuando se ejecuta elarchivo adjunto.
Bagle.O busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
Bagle.O envía una copia de sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto: @avp., @foo, @hotmail.com, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, winrar y winzip.

2.- Propagación a través de programas P2P.

Bagle.O realiza el siguiente proceso:

Crea copias de sí mismo en directorios que contengan en su nombre la cadena de texto SHAR, con los siguientes nombres:
Microsoft Office 2003 Crack, Working!.exe
Microsoft OfficeXP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack,working Keygen.exe
Porno Screensaver.scr
Porno,sex, oral, anal cool, awesome!!.exe
Porno pics arhive, xxx.exe
Serials.txt.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Opera 8 New!.exe
WinAmp5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Matrix 3 Revolution English Subtitles.exe
Adobe Photoshop 9 full.exe
Ahead Nero7.exe
ACDSee 9.exe
Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.O.
Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.O.

Otros Detalles:

Bagle.O está escrito en el lenguaje de programación Visual C++. Este virus tiene un tamaño de 23558 Bytes cuando está comprimido con UPX, y de 44189 Bytes una vez es descomprimido.

El código de este virus contiene el siguiente texto en su interior, aunque no es mostrado en ningún momento:

Para conseguir la mayor seguridad y protección en tu ordenador, aprende a reconocer el virus W32/Bagle.O.worm , del tipo Gusano, con la "Enciclopedia de virus" de HispaVista AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.

Y no pierdas de vista los últimos virus aparecidos:
MS07-018	Nurech.Z	MS07-022	Cimuz.EL	MS07-019

Comprar y vender

ADSL, Alquiler Coches, Clasificados, Coches, Coleccionismo, Comprar, Dominios, Fotografia, HispaVista Empresas, Hosting, Inmobiliaria, M�viles, Telefon�a, Viajes

Comunicaci�n y utilidades

Agenda, Alojamiento web, Alquiler DVD, Antivirus, Chat, Correo, Foros, HispaVista, Logos y Melod�as, Neopolis, Postales, Solidaridad y ONGs, Videos Tu.Tv

Informaci�n

Alarmas Hogar, Blog, Callejero, El Tiempo, Formaci�n, Gu�a - Buscador, Hor�scopo, La Bolsa, Loter�as, Noticias, Ofertas, Ofertas de Trabajo, P�ginas Amarillas

Ocio

Amor y pareja, Apuestas, Bingo, Blog, Busco pareja, Casino, Cine, Crear paginas web gratis, Fotos de chicas, Juegos, Mujer, M�sica, Poker, Software, Tragaperras, Turismo