-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 23 Jul 2004, 10:41
McAfee controlará desde 4381, que,si no reconsideran en funcion de la propagacion, estará disponible el proximo día 28. Mientras se controla con los SDATDAILY i se puede detectar y controlar con la nueva version 3.0 del ELIBAGLA:
---v3.0--- (23 de Julio del 2004) (para el Bagle.AJ)
Descripcion según McAfee:
__________________________________________
Virus Name Risk Assessment
W32/Bagle.aj!proxy Corporate User : Low
Home User : Low
Virus Information
Discovery Date: 07/22/2004
Origin: Unknown
Length: 5,924 Bytes (FSG Packed) 33,298 Bytes (Unpacked)
Type: Virus
SubType: Win32
Minimum DAT: 4381 (07/28/2004)
Updated DAT: 4381 (07/28/2004)
Minimum Engine: 4.3.20
Description Added: 07/22/2004
Description Modified: 07/22/2004 11:46 PM (PT)
Description Menu
Virus Characteristics
Symptoms
Method Of Infection
Removal Instructions
Variants / Aliases
Rate This page
Print This Page
Email This Page
Legend
Virus Characteristics:
This detection is for a new variant of W32/Bagle. Unlike the majority of its predecessors, this variant does not mass-mail itself. It simply serves as a proxy trojan on the victim machine (akin to W32/Bagle.l!proxy ).
When run on the victim machine, it installs itself as WINdirect.exe (5,924 Bytes) in the Windows system directory:
%SysDir%\WINdirect.exe
The following Registry key is added to hook system startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\
"win_upd.exe" = %SysDir%\WINdirect.exe
A HTTP request is sent to one of a few servers to notify the hacker of its installation. The port number and id number are passed to a remote script. Users should block HTTP access to the following domains:
http://polobeer.de/1.jpg
http://r2626r.de/1.jpg
http://kooltokyo.ru/1.jpg
http://mmag.ru/1.jpg
http://advm1.gm.fh-koeln.de/1.jpg
http://evadia.ru/1.jpg
http://megion.ru/1.jpg
http://molinero-berlin.de/1.jpg
http://dozenten.f1.fhtw-berlin.de/1.jpg
http://shadkhan.ru/1.jpg
http://sacred.ru/1.jpg
http://kypexin.ru/1.jpg
http://www.gantke-net.com/1.jpg
http://www.mcschnaeppchen.com/1.jpg
http://www.rollenspielzirkel.de/1.jpg
http://134.102.228.45/1.jpg
http://196.12.49.27/1.jpg
http://aus-Zeit.com/1.jpg
http://lottery.h11.ru/1.jpg
http://herzog.cs.uni-magdeburg.de/1.jpg
http://yaguark.h10.ru/1.jpg
http://213.188.129.72/1.jpg
http://thorpedo.us/1.jpg
http://szm.sk/1.jpg
http://lars-s.privat.t-online.de/1.jpg
http://www.no-abi2003.de/1.jpg
http://www.mdmedia.org/1.jpg
http://abi-2004.org/1.jpg
http://sovea.de/1.jpg
http://www.porta.de/1.jpg
http://matzlinger.com/1.jpg
http://pocono.ru/1.jpg
http://controltechniques.ru/1.jpg
http://alexey.pioneers.com.ru/1.jpg
http://momentum.ru/1.jpg
http://omegat.ru/1.jpg
http://www.perfectgirls.net/1.jpg
http://porno-mania.net/1.jpg
http://colleen.ai.net/1.jpg
http://ourcj.com/1.jpg
http://free.bestialityhost.com/1.jpg
http://slavarik.ru/1.jpg
http://burn2k.ipupdater.com/1.jpg
http://carabi.ru/1.jpg
http://spbbook.ru/1.jpg
http://binn.ru/1.jpg
http://sbuilder.ru/1.jpg
http://protek.ru/1.jpg
http://www.PlayGround.ru/1.jpg
http://celine.artics.ru/1.jpg
http://www.artics.ru/1.jpg
http://www.laserbuild.ru/1.jpg
http://www.lamatec.com/1.jpg
http://www.sensi.com/1.jpg
http://www.oldtownradio.com/1.jpg
http://www.youbuynow.com/1.jpg
http://64.62.172.118/1.jpg
http://www.tayles.com/1.jpg
http://dodgetheatre.com/1.jpg
http://www.thepositivesideofsports.com/1.jpg
http://www.bridesinrussia.com/1.jpg
http://fairy.dataforce.net/1.jpg
http://www.pakwerk.ru/1.jpg
http://home.profootball.ru/1.jpg
http://www.ankil.ru/1.jpg
http://www.ddosers.net/1.jpg
http://tarkosale.net/1.jpg
http://www.boglen.com/1.jpg
http://change.east.ru/1.jpg
http://www.teatr-estrada.ru/1.jpg
http://www.glass-master.ru/1.jpg
http://www.zeiss.ru/1.jpg
http://www.sposob.ru/1.jpg
http://www.glavriba.ru/1.jpg
http://alfinternational.ru/1.jpg
http://euroviolence.com/1.jpg
http://www.webronet.com/1.jpg
http://www.virtmemb.com/1.jpg
http://www.infognt.com/1.jpg
http://www.vivamedia.ru/1.jpg
http://www.zelnet.ru/1.jpg
http://www.dsmedia.ru/1.jpg
http://www.vendex.ru/1.jpg
http://www.elit-line.ru/1.jpg
http://pixel.co.il/1.jpg
http://www.milm.ru/1.jpg
http://dev.tikls.net/1.jpg
http://www.met.pl/1.jpg
http://www.strefa.pl/1.jpg
http://kafka.punkt.pl/1.jpg
http://www.rubikon.pl/1.jpg
http://www.neostrada.pl/1.jpg
http://werel1.web-gratis.net/1.jpg
http://www.tuhart.net/1.jpg
http://www.antykoncepcja.net/1.jpg
http://www.dami.com.pl/1.jpg
http://vip.pnet.pl/1.jpg
http://www.webzdarma.cz/1.jpg
http://emnesty.w.interia.pl/1.jpg
http://niebo.net/1.jpg
http://strony.wp.pl/1.jpg
http://sec.polbox.pl/1.jpg
http://www.phg.pl/1.jpg
http://emnezz.e-mania.pl/1.jpg
http://www.republika.pl/1.jpg
http://www.silesianet.pl/1.jpg
http://www.republika.pl/1.jpg
http://tdi-router.opola.pl/1.jpg
http://republika.pl/1.jpg
http://infokom.pl/1.jpg
http://silesianet.pl/1.jpg
http://terramail.pl/1.jpg
http://silesianet.pl/1.jpg
http://www.iluminati.kicks-ass.net/1.jpg
http://www.dilver.ru/1.jpg
http://www.yarcity.ru/1.jpg
http://www.scli.ru/1.jpg
http://www.elemental.ru/1.jpg
http://diablo.homelinux.com/1.jpg
http://www.interrybflot.ru/1.jpg
http://www.webpark.pl/1.jpg
http://www.rafani.cz/1.jpg
http://gutemine.wu-wien.ac.at/1.jpg
http://przeglad-tygodnik.pl/1.jpg
http://przeglad-tygodnik.pl/1.jpg
http://pb195.slupsk.sdi.tpnet.pl/1.jpg
http://www.ciachoo.pl/1.jpg
http://cavalierland.5u.com/1.jpg
http://www.nefkom.net/1.jpg
http://rausis.latnet.lv/1.jpg
http://www.hgr.de/1.jpg
http://www.airnav.com/1.jpg
http://www.astoria-stuttgart.de/1.jpg
http://ultimate-best-hgh.0my.net/1.jpg
http://wynnsjammer.proboards18.com/1.jpg
http://www.jewishgen.org/1.jpg
http://www.hack-gegen-rechts.com/1.jpg
http://host.wallstreetcity.com/1.jpg
http://quotes.barchart.com/1.jpg
http://www.aannemers-nederland.nl/1.jpg
http://www.sjgreatdeals.com/1.jpg
http://financial.washingtonpost.com/1.jpg
http://www.biratnagarmun.org.np/1.jpg
http://hsr.zhp.org.pl/1.jpg
http://traveldeals.sidestep.com/1.jpg
http://www.hbz-nrw.de/1.jpg
http://www.ifa-guide.co.uk/1.jpg
http://www.inversorlatino.com/1.jpg
http://www.zhp.gdynia.pl/1.jpg
http://host.businessweek.com/1.jpg
http://packages.debian.or.jp/1.jpg
http://www.math.kobe-u.ac.jp/1.jpg
http://www.k2kapital.com/1.jpg
http://www.tanzen-in-sh.de/1.jpg
http://www.wapf.com/1.jpg
http://www.hgrstrailer.com/1.jpg
http://www.forbes.com/1.jpg
http://www.oshweb.com/1.jpg
http://www.rumbgeo.ru/1.jpg
http://www.dicto.ru/1.jpg
http://www.busheron.ru/1.jpg
http://www.omnicom.ru/1.jpg
http://www.teleline.ru/1.jpg
http://www.dynex.ru/1.jpg
http://www.gamma.vyborg.ru/1.jpg
http://nominal.kaliningrad.ru/1.jpg
http://www.baltmatours.com/1.jpg
http://www.interfoodtd.ru/1.jpg
http://www.baltnet.ru/1.jpg
http://www.neprifan.ru/1.jpg
http://photo.gornet.ru/1.jpg
http://www.aktor.ru/1.jpg
http://catalog.zelnet.ru/1.jpg
http://www.sdsauto.ru/1.jpg
http://www.gradinter.ru/1.jpg
http://www.avant.ru/1.jpg
http://www.porsa.ru/1.jpg
http://www.taom-clan.de/1.jpg
http://www.perfectjewel.com/1.jpg
http://www.vrack.net/1.jpg
http://www.netradar.com/1.jpg
http://www.pgipearls.com/1.jpg
http://www.vconsole.net/1.jpg
http://www.ccbootcamp.com/1.jpg
http://host23.ipowerweb.com/1.jpg
http://www.timelessimages.com/1.jpg
http://www.peterstar.ru/1.jpg
http://www.5100.ru/1.jpg
http://www.gin.ru/1.jpg
http://www.rweb.ru/1.jpg
http://www.metacenter.ru/1.jpg
http://www.biysk.ru/1.jpg
http://www.free-time.ru/1.jpg
http://www.rastt.ru/1.jpg
http://www.chelny.ru/1.jpg
http://www.chat4adult.com/1.jpg
http://www.landofcash.net/1.jpg
http://relay.great.ru/1.jpg
http://www.kefaloniaresorts.com/1.jpg
http://www.epski.gr/1.jpg
http://www.myrtoscorp.com/1.jpg
http://www.aphel.de/1.jpg
http://www.intellect.lvc/1.jpg
http://www.abcdesign.ru/1.jpg
A port is opened on the victim machine, and the malware may also serve as a mail relay.
Process Killing
The worm kills processes matching the following list of file names, belonging to other worms and products which could be used to identify or interfere with its actions:
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
Top of Page
Symptoms
Unexpected port (TCP) open on the victim machine (eg. 1056)
Existence of the files and Registry keys detailed above
Top of Page
Method Of Infection
This variant serves as a proxy trojan on the victim machine. Once running it could be used as a mail relay
_______________
Para descargar la utilidad ELIBAGLA:
https://foros.zonavirus.com/viewtopic.php?p=68#68
saludos
ms, 23-07-2004