Bagle.AB

Bagle.AB realiza las siguientes acciones:

• Intenta conectarse a través del puerto 2535 a varias páginas web que albergan un script PHP. De este modo, notifica a su autor que el ordenador ha sido afectado:
  
  http://2udar.ligakvn.de/5.php
  http://3treepoint.com/5.php
  http://abakan.strana.de/5.php
  http://andimeisslein.de/5.php
  http://ditec.um.es/5.php
  http://fotos.schneider.bards.de/5.php
  http://hardvision.ru/5.php
  http://jakimov.golos.de/5.php
  http://markusgimenez.de/5.php
  http://mhv24.de/5.php
  http://s318.evanzo-server.de/5.php
  http://Spaceclub.de/5.php
  http://tobimayer.de/5.php
  http://vg.xtonne.de/5.php
  http://vg.xtonne.de/5.php
  http://villakinderbunt.de/5.php
  http://virtualzone.de/5.php
  http://www.ac-schnitzer.de/5.php
  http://www.auma.de/5.php
  http://www.autoscout24.de/5.php
  http://www.avh.de/5.php
  http://www.beckers-systems.de/5.php
  http://www.berlinale.de/5.php
  http://www.blauer-engel.de/5.php
  http://www.bmbf.de/5.php
  http://www.bruecke-osteuropa.de/5.php
  http://www.bundesregierung.de/5.php
  http://www.cicv.fr/5.php
  http://www.chugai.de/5.php
  http://www.dalnoboyshik.de/5.php
  http://www.de-bug.de/5.php
  http://www.degruyter.de/5.php
  http://www.deutsch-als-fremdsprache.de/5.php
  http://www.deutsches-museum.de/5.php
  http://www.deutschland.de/5.php
  http://www.dfg.de/5.php
  http://www.documenta.de/5.php
  http://www.dwd.de/5.php
  http://www.embl-heidelberg.de/5.php
  http://www.emis.de/5.php
  http://www.eumetsat.de/5.php
  http://www.exactaudiocopy.de/5.php
  http://www.fernuni-hagen.de/5.php
  http://www.fiz-karlsruhe.de/5.php
  http://www.fracht-24.de/5.php
  http://www.fu-berlin.de/5.php
  http://www.gdch.de/5.php
  http://www.go-amman.de/5.php
  http://www.goethe.de/5.php
  http://www.gospel-nations.de/5.php
  http://www.gsi.de/5.php
  http://www.hamann-motorsport.de/5.php
  http://www.hamburg.de/5.php
  http://www.heise.de/5.php
  http://www.hotel-pension-spree.de/5.php
  http://www.ifdesign.de/5.php
  http://www.insel-ruegen-hotel.de/5.php
  http://www.intermatgmbh.de/5.php
  http://www.jura.uni-sb.de/5.php
  http://www.kliniken.de/5.php
  http://www.leipziger-messe.de/5.php
  http://www.loveparade.de/5.php
  http://www.low-spirit.de/5.php
  http://www.mdz-moskau.de/5.php
  http://www.mitsubishi-evs.de/5.php
  http://www.mitsumi.de/5.php
  http://www.mk-motorsport.de/5.php
  http://www.mobile.de/5.php
  http://www.nabu.de/5.php
  http://www.neformal.de/5.php
  http://www.neznakomez.de/5.php
  http://www.paromi.de/5.php
  http://www.partner-inform.de/5.php
  http://www.php-resource.de/5.php
  http://www.pri-wo-hamburg.de/5.php
  http://www.red-dot.de/5.php
  http://www.restarted-alliance.de/5.php
  http://www.ruletka.de/5.php
  http://www.russische-botschaft.de/5.php
  http://www.siegenia-aubi.com/5.php
  http://www.spiegel.de/5.php
  http://www.sprach-zertifikat.de/5.php
  http://www.teac.de/5.php
  http://www.tecchannel.de/5.php
  http://www.tekeli.de/5.php
  http://www.tib.uni-hannover.de/5.php
  http://www.turism.de/5.php
  http://www.uni-oldenburg.de/5.php
  http://www.uni-stuttgart.de/5.php
  http://www.welt.de/5.php
  http://www.windac.de/5.php
  http://www.winfuture.de/5.php
  http://www.www.mirko-becker.gmxhome.de/5.php
  
• Termina los siguientes procesos, si se encuentran activos:
  
  3.02D30.EXE, AGENTSVR.EXE, ANTI-TROJA, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, drvsys.EXE, DRWATSON.EXE, DRWEBUPW.EXE, E TRACERT.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.E, MU0311AD.EXE, N.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EX, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.E, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XE MSSMMC32.EXE, XE WRCTRL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.
  
  Estos procesos pertenecen a programas antivirus y firewalls, entre otras aplicaciones de seguridad, así como a diversos gusanos.
• Muestra en pantalla el siguiente falso mensaje de error cuando es ejecutado:
  
  

Bagle.AB es un gusano que se propaga a través del correo electrónico en un mensaje escrito en inglés de características variables, así como a través de los programas de intercambio de ficheros punto a punto (P2P).

Bagle.AB finaliza procesos correspondientes a diversos programas antivirus y firewalls, entre otras aplicaciones de seguridad, así como a diversos gusanos.

Además, también intenta conectarse a través del puerto 2535 a varias páginas web que albergan un script PHP. De este modo, notifica a su autor que el ordenador ha sido afectado.

Bagle.AB es fácil de reconocer una vez es ejecutado, ya que muestra el siguiente falso mensaje de error en pantalla: