Actualidad

Aparece un troyano que deshabilita los antivirus

Nombre: Bagle.DN Nombre NOD32: Win32/Bagle.DN
Tipo: Caballo de Troya Alias: Bagle.DN, Dropped:Win32.Bagle.EL@mm, Email-Worm.Win32.Bagle.EE, Email-Worm.Win32.Bagle.el, I-Worm.Bagle.el, I-Worm/Bagle, TR/Bagle.DY, TR/Bagle.DY.DLL, Trj/Mitglieder.FP, Troj/BagDl-Fam, Troj/BagleDl-AA, Trojan.Lodav.B, Trojan.Lodear.D, Trojan/Bagle.DY, Trojan/Bagle.DY.DLL, W32.Beagle.CO@mm, W32/Bagle.EL-mm, W32/Bagle.gen, W32/Bagle.GEN@MM, W32/KillAV.CH!tr, W32/Mitglied.NN, W32/Mitglieder.gen, Win32.Bagle.EL@mm, Win32.Fantibag.I, Win32.HLLM.Beagle.38912, Win32/Bagle.DN, Win32/Fantibag.I!DLL!Trojan, Win32/Fantibag.I!Trojan, Win32:Beagle-gen5, Worm.Beagle.El, WORM_BAGLE.BQ
Fecha: 7/nov/05 Plataforma: Windows 32-bit Tamaño: 15,088 bytes Puerto: TCP 80.

Caballo de Troya descargado por variantes del Bagle, que intenta desactivar diversos productos antivirus y cortafuegos.

Fue detectado el 7 de noviembre de 2005.

Cuando se ejecuta, crea los siguientes archivos en la carpeta System de Windows:

c:windowssystem32antiav_exe.exe
c:windowssystem32antiav_dll.dll

El archivo .DLL es inyectado en el proceso de EXPLORER.EXE (la interfase del propio Windows).

NOTA: "c:windowssystem32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:winntsystem32" en Windows NT y 2000 y "c:windowssystem" en Windows 9x y ME).

Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
auto__antiav__key = "c:windowssystem32antiav_exe.exe"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
auto__antiav__key = "c:windowssystem32antiav_exe.exe"

Usando el DLL inyectado en el proceso EXPLORER.EXE, el gusano intenta conectarse a diversos sitios de Internet, a través del puerto TCP 80 para descargar otros archivos.

El troyano, intenta desactivar los procesos relacionados con archivos, todos ellos relacionados con programas de seguridad (antivirus y cortafuegos) e intenta borrar todos los archivos del equipo infectado.

Además, impide el acceso a las siguientes direcciones, intentando impedir que los productos antivirus puedan actualizarse:

193 .69 .114 .12
212 .113 .20 .69
213 .219 .245 .4
213 .248 .60 .121
216 .200 .68 .152
62 .146 .66 .181
63 .210 .193 .12
84 .53 .142 .22
84 .53 .142 .6
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
antivir .de
anti-virus .by
ar .atwola .com
atdmt .com
avast .com
avira .com
avp .ch
avp .com
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
bitdefender .com
bitdefender .ru
ca .com
clamav .net
clamwin .com
click .atdmt .com
clicks .atdmt .com
customer .symantec .com
database .clamav .net
dispatch .mcafee .com
download .ikarus .at
download .mcafee .com
download .microsoft .com
download25 .avast .com
downloadhosting .core .ignum .cz
downloads .avira .com
downloads .microsoft .com
downloads1 .kaspersky-labs .com
downloads2 .kaspersky-labs .com
downloads3 .kaspersky-labs .com
downloads4 .kaspersky-labs .com
downloads-eu1 .kaspersky-labs .com
downloads-us1 .kaspersky-labs .com
downloads-us2 .kaspersky-labs .com
downloads-us3 .kaspersky-labs .com
drweb .com
drweb .ru
engine .awaps .net
esetsoftware .com
fastclick .net
files .referats .net
f-secure .com
ftp .avp .ch
ftp .downloads2 .kaspersky-labs .com
ftp .f-secure .com
ftp .kasperskylab .ru
ftp .sophos .com
ftpav .ca .com
gin .ba .euroweb .sk
go .microsoft .com
grisoft .com
hbedv .com
ids .kaspersky-labs .com
ikarus-software .at
kaspersky .com
kaspersky .ru
kaspersky-labs .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
msk4 .drweb .com
my-etrust .com
my-etrust .com
nai .com
networkassociates .com
niutwo .norman .no
office .microsoft .com
open .by
pandasoftware .com
phx .corporate-ir .net
rads .mcafee .com
ravantivirus .com
report .bitdefender .com
rs02 .avast .com
rs03 .avast .com
rs06 .avast .com
rs07 .avast .com
rs08 .avast .com
rs10 .avast .com
rs11 .avast .com
rs18 .avast .com
rs18 .avast .com
rs20 .avast .com
rs24 .avast .com
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sm01 .avast .com
sm04 .avast .com
sm05 .avast .com
sm09 .avast .com
sm12 .avast .com
sm13 .avast .com
sm14 .avast .com
sm15 .avast .com
sm16 .avast .com
sm17 .avast .com
sm19 .avast .com
sm21 .avast .com
sm22 .avast .com
sm23 .avast .com
sm25 .avast .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
updates1 .kaspersky-labs .com
updates2 .kaspersky-labs .com
updates3 .kaspersky-labs .com
updates4 .kaspersky-labs .com
updates5 .kaspersky-labs .com
upgrade .bitdefender .com
us .mcafee .com
vba32 .de
vil .nai .com
viruslist .com
viruslist .ru
windowsupdate .microsoft .com
www .antivir .de
www .anti-virus .by
www .avast .com
www .avira .com
www .avp .ch
www .avp .com
www .avp .ru
www .awaps .net
www .bitdefender .com
www .bitdefender .ru
www .ca .com
www .clamav .net
www .clamwin .com
www .drweb .com
www .fastclick .net
www .f-secure .com
www .grisoft .com
www .hacksoft .com .pe
www .hbedv .com
www .kaspersky .com
www .kaspersky .ru
www .kaspersky-labs .com
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .open .by
www .pandasoftware .com
www .ravantivirus .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .vba32 .de
www .viruslist .com
www .viruslist .ru
www2 .eset .com
www3 .ca .com
zak .avira .com

Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" .

Fuente: VS ANTIVIRUS y LAFLECHA.NET