Nueva variante del BAGLE: AJ

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Nueva variante del BAGLE: AJ

Mensaje por msc hotline sat » 23 Jul 2004, 10:41

McAfee controlará desde 4381, que,si no reconsideran en funcion de la propagacion, estará disponible el proximo día 28. Mientras se controla con los SDATDAILY i se puede detectar y controlar con la nueva version 3.0 del ELIBAGLA:



---v3.0--- (23 de Julio del 2004) (para el Bagle.AJ)



Descripcion según McAfee:

__________________________________________



Virus Name Risk Assessment

W32/Bagle.aj!proxy Corporate User : Low

Home User : Low







Virus Information

Discovery Date: 07/22/2004

Origin: Unknown

Length: 5,924 Bytes (FSG Packed) 33,298 Bytes (Unpacked)

Type: Virus

SubType: Win32

Minimum DAT: 4381 (07/28/2004)

Updated DAT: 4381 (07/28/2004)

Minimum Engine: 4.3.20

Description Added: 07/22/2004

Description Modified: 07/22/2004 11:46 PM (PT)

Description Menu

Virus Characteristics

Symptoms

Method Of Infection

Removal Instructions

Variants / Aliases

Rate This page

Print This Page

Email This Page

Legend







Virus Characteristics:

This detection is for a new variant of W32/Bagle. Unlike the majority of its predecessors, this variant does not mass-mail itself. It simply serves as a proxy trojan on the victim machine (akin to W32/Bagle.l!proxy ).

When run on the victim machine, it installs itself as WINdirect.exe (5,924 Bytes) in the Windows system directory:



%SysDir%\WINdirect.exe

The following Registry key is added to hook system startup:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run\

"win_upd.exe" = %SysDir%\WINdirect.exe

A HTTP request is sent to one of a few servers to notify the hacker of its installation. The port number and id number are passed to a remote script. Users should block HTTP access to the following domains:



http://polobeer.de/1.jpg

http://r2626r.de/1.jpg

http://kooltokyo.ru/1.jpg

http://mmag.ru/1.jpg

http://advm1.gm.fh-koeln.de/1.jpg

http://evadia.ru/1.jpg

http://megion.ru/1.jpg

http://molinero-berlin.de/1.jpg

http://dozenten.f1.fhtw-berlin.de/1.jpg

http://shadkhan.ru/1.jpg

http://sacred.ru/1.jpg

http://kypexin.ru/1.jpg

http://www.gantke-net.com/1.jpg

http://www.mcschnaeppchen.com/1.jpg

http://www.rollenspielzirkel.de/1.jpg

http://134.102.228.45/1.jpg

http://196.12.49.27/1.jpg

http://aus-Zeit.com/1.jpg

http://lottery.h11.ru/1.jpg

http://herzog.cs.uni-magdeburg.de/1.jpg

http://yaguark.h10.ru/1.jpg

http://213.188.129.72/1.jpg

http://thorpedo.us/1.jpg

http://szm.sk/1.jpg

http://lars-s.privat.t-online.de/1.jpg

http://www.no-abi2003.de/1.jpg

http://www.mdmedia.org/1.jpg

http://abi-2004.org/1.jpg

http://sovea.de/1.jpg

http://www.porta.de/1.jpg

http://matzlinger.com/1.jpg

http://pocono.ru/1.jpg

http://controltechniques.ru/1.jpg

http://alexey.pioneers.com.ru/1.jpg

http://momentum.ru/1.jpg

http://omegat.ru/1.jpg

http://www.perfectgirls.net/1.jpg

http://porno-mania.net/1.jpg

http://colleen.ai.net/1.jpg

http://ourcj.com/1.jpg

http://free.bestialityhost.com/1.jpg

http://slavarik.ru/1.jpg

http://burn2k.ipupdater.com/1.jpg

http://carabi.ru/1.jpg

http://spbbook.ru/1.jpg

http://binn.ru/1.jpg

http://sbuilder.ru/1.jpg

http://protek.ru/1.jpg

http://www.PlayGround.ru/1.jpg

http://celine.artics.ru/1.jpg

http://www.artics.ru/1.jpg

http://www.laserbuild.ru/1.jpg

http://www.lamatec.com/1.jpg

http://www.sensi.com/1.jpg

http://www.oldtownradio.com/1.jpg

http://www.youbuynow.com/1.jpg

http://64.62.172.118/1.jpg

http://www.tayles.com/1.jpg

http://dodgetheatre.com/1.jpg

http://www.thepositivesideofsports.com/1.jpg

http://www.bridesinrussia.com/1.jpg

http://fairy.dataforce.net/1.jpg

http://www.pakwerk.ru/1.jpg

http://home.profootball.ru/1.jpg

http://www.ankil.ru/1.jpg

http://www.ddosers.net/1.jpg

http://tarkosale.net/1.jpg

http://www.boglen.com/1.jpg

http://change.east.ru/1.jpg

http://www.teatr-estrada.ru/1.jpg

http://www.glass-master.ru/1.jpg

http://www.zeiss.ru/1.jpg

http://www.sposob.ru/1.jpg

http://www.glavriba.ru/1.jpg

http://alfinternational.ru/1.jpg

http://euroviolence.com/1.jpg

http://www.webronet.com/1.jpg

http://www.virtmemb.com/1.jpg

http://www.infognt.com/1.jpg

http://www.vivamedia.ru/1.jpg

http://www.zelnet.ru/1.jpg

http://www.dsmedia.ru/1.jpg

http://www.vendex.ru/1.jpg

http://www.elit-line.ru/1.jpg

http://pixel.co.il/1.jpg

http://www.milm.ru/1.jpg

http://dev.tikls.net/1.jpg

http://www.met.pl/1.jpg

http://www.strefa.pl/1.jpg

http://kafka.punkt.pl/1.jpg

http://www.rubikon.pl/1.jpg

http://www.neostrada.pl/1.jpg

http://werel1.web-gratis.net/1.jpg

http://www.tuhart.net/1.jpg

http://www.antykoncepcja.net/1.jpg

http://www.dami.com.pl/1.jpg

http://vip.pnet.pl/1.jpg

http://www.webzdarma.cz/1.jpg

http://emnesty.w.interia.pl/1.jpg

http://niebo.net/1.jpg

http://strony.wp.pl/1.jpg

http://sec.polbox.pl/1.jpg

http://www.phg.pl/1.jpg

http://emnezz.e-mania.pl/1.jpg

http://www.republika.pl/1.jpg

http://www.silesianet.pl/1.jpg

http://www.republika.pl/1.jpg

http://tdi-router.opola.pl/1.jpg

http://republika.pl/1.jpg

http://infokom.pl/1.jpg

http://silesianet.pl/1.jpg

http://terramail.pl/1.jpg

http://silesianet.pl/1.jpg

http://www.iluminati.kicks-ass.net/1.jpg

http://www.dilver.ru/1.jpg

http://www.yarcity.ru/1.jpg

http://www.scli.ru/1.jpg

http://www.elemental.ru/1.jpg

http://diablo.homelinux.com/1.jpg

http://www.interrybflot.ru/1.jpg

http://www.webpark.pl/1.jpg

http://www.rafani.cz/1.jpg

http://gutemine.wu-wien.ac.at/1.jpg

http://przeglad-tygodnik.pl/1.jpg

http://przeglad-tygodnik.pl/1.jpg

http://pb195.slupsk.sdi.tpnet.pl/1.jpg

http://www.ciachoo.pl/1.jpg

http://cavalierland.5u.com/1.jpg

http://www.nefkom.net/1.jpg

http://rausis.latnet.lv/1.jpg

http://www.hgr.de/1.jpg

http://www.airnav.com/1.jpg

http://www.astoria-stuttgart.de/1.jpg

http://ultimate-best-hgh.0my.net/1.jpg

http://wynnsjammer.proboards18.com/1.jpg

http://www.jewishgen.org/1.jpg

http://www.hack-gegen-rechts.com/1.jpg

http://host.wallstreetcity.com/1.jpg

http://quotes.barchart.com/1.jpg

http://www.aannemers-nederland.nl/1.jpg

http://www.sjgreatdeals.com/1.jpg

http://financial.washingtonpost.com/1.jpg

http://www.biratnagarmun.org.np/1.jpg

http://hsr.zhp.org.pl/1.jpg

http://traveldeals.sidestep.com/1.jpg

http://www.hbz-nrw.de/1.jpg

http://www.ifa-guide.co.uk/1.jpg

http://www.inversorlatino.com/1.jpg

http://www.zhp.gdynia.pl/1.jpg

http://host.businessweek.com/1.jpg

http://packages.debian.or.jp/1.jpg

http://www.math.kobe-u.ac.jp/1.jpg

http://www.k2kapital.com/1.jpg

http://www.tanzen-in-sh.de/1.jpg

http://www.wapf.com/1.jpg

http://www.hgrstrailer.com/1.jpg

http://www.forbes.com/1.jpg

http://www.oshweb.com/1.jpg

http://www.rumbgeo.ru/1.jpg

http://www.dicto.ru/1.jpg

http://www.busheron.ru/1.jpg

http://www.omnicom.ru/1.jpg

http://www.teleline.ru/1.jpg

http://www.dynex.ru/1.jpg

http://www.gamma.vyborg.ru/1.jpg

http://nominal.kaliningrad.ru/1.jpg

http://www.baltmatours.com/1.jpg

http://www.interfoodtd.ru/1.jpg

http://www.baltnet.ru/1.jpg

http://www.neprifan.ru/1.jpg

http://photo.gornet.ru/1.jpg

http://www.aktor.ru/1.jpg

http://catalog.zelnet.ru/1.jpg

http://www.sdsauto.ru/1.jpg

http://www.gradinter.ru/1.jpg

http://www.avant.ru/1.jpg

http://www.porsa.ru/1.jpg

http://www.taom-clan.de/1.jpg

http://www.perfectjewel.com/1.jpg

http://www.vrack.net/1.jpg

http://www.netradar.com/1.jpg

http://www.pgipearls.com/1.jpg

http://www.vconsole.net/1.jpg

http://www.ccbootcamp.com/1.jpg

http://host23.ipowerweb.com/1.jpg

http://www.timelessimages.com/1.jpg

http://www.peterstar.ru/1.jpg

http://www.5100.ru/1.jpg

http://www.gin.ru/1.jpg

http://www.rweb.ru/1.jpg

http://www.metacenter.ru/1.jpg

http://www.biysk.ru/1.jpg

http://www.free-time.ru/1.jpg

http://www.rastt.ru/1.jpg

http://www.chelny.ru/1.jpg

http://www.chat4adult.com/1.jpg

http://www.landofcash.net/1.jpg

http://relay.great.ru/1.jpg

http://www.kefaloniaresorts.com/1.jpg

http://www.epski.gr/1.jpg

http://www.myrtoscorp.com/1.jpg

http://www.aphel.de/1.jpg

http://www.intellect.lvc/1.jpg

http://www.abcdesign.ru/1.jpg

A port is opened on the victim machine, and the malware may also serve as a mail relay.



Process Killing



The worm kills processes matching the following list of file names, belonging to other worms and products which could be used to identify or interfere with its actions:





FIREWALL.EXE

ATUPDATER.EXE

winxp.exe

sys_xp.exe

sysxp.exe

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE



Top of Page



Symptoms

Unexpected port (TCP) open on the victim machine (eg. 1056)

Existence of the files and Registry keys detailed above



Top of Page



Method Of Infection

This variant serves as a proxy trojan on the victim machine. Once running it could be used as a mail relay





_______________



Para descargar la utilidad ELIBAGLA:



https://foros.zonavirus.com/viewtopic.php?p=68#68



saludos



ms, 23-07-2004

Cerrado

Volver a “ALERTAS VIRICAS y utilidades de eliminacion”