Un virus Bagle que me da dolor de cabeza :=)

[coperfil]

Hola a todos, en primer lugar saludar al equipo que de forma altruista nos ayudais mucho en este mundillo, resolviendo problemas y dudas que en otras webs no he visto, tratando temas como lo haceis vosotros. Gracias de antemano.

Paso a exponer mi caso: Tengo xp pro, y hace un par de dias se me coló un troyano que por lo que veo es muy dañino. El bicho se llama " Bagle.eb ".

El muy tozudo entró aún teniendo el nod32 instalado y actualizado. No me deja instalar ningún otro antivirus, se come los ejecutables (exe) en el momento de instalarlos. Menudo fiasco me ha provocado. No me dejaba entrar en modo seguro, se reiniciaba en el momento que pulsaba este modo, ni con los demás modos, nada de nada. Pues bien, entro en modo normal, me voy al boot.ini, le digo que arranque en safe y mira por donde que ahora no puedo ni arrancar en modo seguro ni en modo normal.

He intentado reparar el xp desde el cd pero el proceso de actualizacion y reparacion me lo hace bien hasta que reinicia para seguir reparando pero cual es la sorpresa que me llevo que me entra en modo seguro y claro el windows xp pro me dice que no puede reparar desde el modo seguro.

Vaya tela, mi pregunta es, podría modificar el boot.ini desde msdos, linea de comandos, para volver al arranque normal o ¿ya no hay nada que hacer?. No me interesa formatear pues tengo trabajos muy importantes y no me deja que entre al escritorio.

Muchas gracias a todos los que formais el equipo. Espero alguna ayudita. Un Abrazo. :=)

[Nelson Ayala]

Hola:

TR/Bagle.EB - Trojan

Método de propagación:

• No tiene rutina propia de propagación

Alias:

• Symantec: W32.Beagle@mm

• Kaspersky: Email-Worm.Win32.Bagle.en

• TrendMicro: WORM_BAGLE.BS

• Sophos: W32/Bagle-AR

• Grisoft: I-Worm/Bagle.IR

• VirusBuster: I-Worm.Bagle.EK

• Eset: Win32/Bagle.ES

• Bitdefender: Win32.Bagle.EK@mm



Plataformas / Sistemas operativos:

• Windows 95

• Windows 98

• Windows 98 SE

• Windows 2000

• Windows XP



Efectos secundarios:

• Descarga ficheros dañinos

• Contiene su propio motor para generar mensajes de correo

• Reduce las opciones de seguridad

• Modificaciones en el registro



Se copia a sí mismo en la siguiente ubicación:

• %SYSDIR%\windll2.exe









Intenta descargar algunos ficheros:



– Las direcciones son las siguientes:

• http://clickhare.com/images/**********

• http://amerikansk-bulldog.dk/images/**********

• http://eventpeopleforyou.com/help/**********

• http://ekshrine.com/images/**********

• http://www.familia-sanchez.net/images/**********

• http://www.asymchem.com/images/**********

• http://www.baku-xeber.com/images/**********

• http://www.abmedical.pl/images/**********

• http://www.cellphonemadeinchina.com/images/**********

El fichero está guardado en el disco duro en: %WINDIR%\eml.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.



– Las direcciones son las siguientes:

• http://localhost/**********

• http://localhost/**********

• http://localhost/**********

El fichero está guardado en el disco duro en: %SYSDIR%\re_file.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.



Elimina del registro de Windows los valores de las siguientes claves:



– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n

• ICQ Net

• SkynetsRevenge

• KasperskyAVEng

• Norton Antivirus AV

• PandaAVEngine

• EasyAV

• SysMonXP

• MsInfo

• FirewallSvr

• Jammer2nd

• NetDy

• HtProtect

• ICQNet

• Tiny AV

• service

• Special Firewall Service

• Antivirus

• 9XHtProtect

• Zone Labs Client Ex

• My AV



– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n

• ICQ Net

• SkynetsRevenge

• KasperskyAVEng

• Norton Antivirus AV

• PandaAVEngine

• EasyAV

• SysMonXP

• MsInfo

• FirewallSvr

• Jammer2nd

• NetDy

• HtProtect

• ICQNet

• Tiny AV

• service

• Special Firewall Service

• Antivirus

• 9XHtProtect

• Zone Labs Client Ex

• My AV



– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n

• "erthegdr"="%SYSDIR%\windll2.exe"







Añade la siguiente clave al registro:



– HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n

• "erthegdr"="%SYSDIR%\windll2.exe"

[evangelion_01]

oooooo, pues por lo que vi, no afecta al avast! entones no me afecta wiiiiii!!!!!!!!!11

[Nelson Ayala]

Hola:





Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:





De:

La dirección del remitente es falsa.

Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.





Asunto:

El campo del asunto está vacío.





El cuerpo del mensaje:

El cuerpo del mensaje de correo es uno de los siguientes:

• Password:

• The password is:

• info

• texte





Archivo adjunto:

Este fichero no incluye una copia suya, sino otro programa viral.



El nombre del fichero adjunto es uno de los siguientes:

• text_sms.zip

• sms_text.zip

• The_new_prices.zip

• Info_prices.zip

• Business_dealing.zip

• max.zip

• Health_and_knowledge.zip

• Business.zip



Envio de mensajes Creación de direcciones para el campo DE (remitente):

Para generar direcciones, emplea los siguientes textos:

• Ales; Alice; Alyce; Andrew; Androw; Androwe; Ann; Anna; Anne; Annes;

Anthonie; Anthony; Anthonye; Avice; Avis; Bennet; Bennett; Christean;

Christian; Constance; Cybil; Daniel; Danyell; Dorithie; Dorothee;

Dorothy; Edmond; Edmonde; Edmund; Edward; Edwarde; Elizabeth;

Elizabethe; Ellen; Ellyn; Emanual; Emanuel; Emanuell; Ester; Frances;

Francis; Fraunces; Gabriell; Geoffraie; George; Grace; Harry; Harrye;

Henrie; Henry; Henrye; Hughe; Humphrey; Humphrie; Isabel; Isabell;

James; Jane; Jeames; Jeffrey; Jeffrye; Joane; Johen; John; Josias;

Judeth; Judith; Judithe; Katherine; Katheryne; Leonard; Leonarde;

Margaret; Margarett; Margerie; Margerye; Margret; Margrett; Marie;

Martha; Mary; Marye; Michael; Mychaell; Nathaniel; Nathaniell;

Nathanyell; Nicholas; Nicholaus; Nycholas; Peter; Ralph; Rebecka;

Richard; Richarde; Robert; Roberte; Roger; Rose; Rycharde; Samuell;

Sara; Sidney; Sindony; Stephen; Susan; Susanna; Suzanna; Sybell;

Sybyll; Syndony; Thomas; Valentyne; William; Winifred; Wynefrede;

Wynefreed; Wynnefreede







Evita las direcciones:

No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:

• @eerswqe; @derewrdgrs; @microsoft; rating@; f-secur; news; update;

anyone@; bugs@; contract@; feste; gold-certs@; help@; info@; nobody@;

noone@; kasp; admin; icrosoft; support; ntivi; unix; bsd; linux;

listserv; certific; sopho; @foo; @iana; free-av; @messagelab; winzip;

google; winrar; samples; abuse; panda; cafee; spam; pgp; @avp.;

noreply; local; root@; postmaster@





Servidor MX:

No emplea el servidor MX implícito.

Puede conectarse al servidor MX:

• smtp.mail.ru



Finalización de los procesos Intenta finalizar los siguientes procesos y eliminar los ficheros correspondientes:

• 1t1epad.exe

• t1es1t.exe





Backdoor (Puerta trasera) Abre el siguiente puerto:



– %SYSDIR%\windll2.exe en el puerto TCP 80 para funcionar como servidor proxy.



Informaciones diversas Crea los siguientes objetos mutex:

• vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

• 'D'r'o'p'p'e'd'S'k'y'N'e't'

• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

• [SkyNet.cz]SystemsMutex

• AdmSkynetJklS003

• ____--->>>>U<<<<--____

• _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_



Datos del fichero Programa de compresión de ejecutables:

Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

[lucl]

Hola coperfiel voy a copiarte algo sobre el bagle que puso msc,



[b]Si tiene el Bagle y ha modificado el BOOT.INI para que le arranque por defecto en modo seguro, como que el Bagle le ha modificado la clave de ERROR SAFE impidiendo arrancar en dicho modo, ha cerrado un circulo vicioso , del que debe salir volviendo a poner el BOOT.INI inicial, y pasas el ELIBAGLA sea cual sea el modo en el que arranque (normal o seguro) eliminará el virus y restaurrará la clave.



Creo que debes proceder a arrancar con el CD de instalacion y entrar en consola de recuperacion y segun sean tus conocimiento, volver a dejar el BOOT.INI como estaba, o copiar en su lugar el de otra maquina con igual sistema operatuvo, pero ten presente los atributos de dicho fichero para poder hacerlo [/b]



Como ves, el bagle se dedica a hacer eso y realmente es un lio salir de el, te dejo link de otro que tuvo el mismo problema que tu , a ver si consigues solucionarlo, nos comentas, saludos





https://foros.zonavirus.com/virus-que-anula-arranque-modo-seguro-y-antivirus-vt18660.html?highlight=bagle

[msc hotline sat]

Vamos a ver, he escrito mucho respecto al Bagle y a la modificacion de la clave de registro que impide arrancar en MOD0 SEGURO, y además el pasado jueves tuvimos pelea grande contra el RootKit de la ultima variante aparecida del mismo, y ayer por la mañana ya pusimos en esta web la ultima version del ELIBAGLA que lo controla, y sobre modificar el BOOT.INI ... ya modifiqué al respecto el Tema de como arrancar en modo segur0 con el añadido correspondiente, espero que está bien claro, y con lo correctamente indicado por claudia34 si no se ha hecho caso, confio que no haya problema, pero probar siempre la ultima version del ELIBAGLA, que hacemos casi a diario, como el ELISTARA y el ELITRIIP, por las nuevas variantes cuyo control vamos implementando.



saludos



ms, 22-09-2007

[msc hotline sat]

Y para los que hayan caido en la "trampa" de modificar el BOOT.INI teniendo el BAGLE, lo cual es comprensible, posteo aqui lo que escribí hace ya 4 meses para uno de los primeros casos del problema del SAFEBOOT:



Puedes arrancar en CONSOLA DE RECUPERACION, o con el disco duro como esclavo de otro ordenador, o con un LIVE CD, y luego...


[quote="msc"]


Para deshacer lo hecho en el BOOT.INI debes acceder a la carpeta de sistema y quitar los atributos de sistema y de oculto a dicho fichero con el ATTRIB.EXE, para lo que iras al disco C: luego a la carpeta en cuestion y desde alli ejecutarsás el ATTRIB quitandole los atributos indicados:



C: <ENTER>

CD WINDOWS <ENTER>

CD SYSTEM32 <ENTER>

ATTRIB C:\BOOT.INI -H -S <ENTER>



Así podrás copiar encima el BOOT.INI de la otra maquina que arranca normal, escribiendo:



COPY X:\BOOT.INI C:\ <ENTER>



ENTENDIENDO POR x: LA UNIDAD DONDE TIENES EL SOPORTE (DISQUETE O LO QUE SEA) EN EL QUE HAYAS GRABADO EL BOOT.INI DE LA MAQUINA QUE ARRANCA



para copiar dicho fichero al disquete posiblemente hayas tenido que quitarle tambien los atributos indicados...



Y por último, cuando ya LO HAYAS COPIADO AL DISCO DURO y este haya arrancado normalmente, vuelves a poner los atributos de H y S al fichero, con ATTRIB c:\BOOT.INI +H +S



Miratelo con calma y preguntame lo que no entiendas.



Desde luego es un poco liado, pero es que te has metido en sentido contrario en una autopista llena de trafico ...y salvese quien pueda o sepa !



Lo has querido hacer tan bien, que en este caso te ha salido el tiro por la culata ! En caso de duda, preguntarnos !



saludos



ms, 20-05-2007


[/quote]

Y repito, nos hemos peleado con todas y cada una de las variantes de Bagle conocidas hasta la fecha, y nuestros asociados en España han sufrido sus ataques llegados por spams y mails de manera que hemos invertido muchas horas de todos nuestros tecnicos, de investigación, de analisis, de monitorizacion, de programacion, de pruebas y en definitiva de ingenieria aplicada, habiendo enviado cientos de diferentes muestras de variantes de Bagle a McAfee antes no lo controlaran, y desarrollando nuevas versiones del ELIBAGLA para todas ellas, por ello podemos ayudar a los que tengais el problema que ya tenemos resuelto, gracias a nuestro soporte a mas de 200.000 usuarios asociados a nuestros servicios (de SATINFO) aparte de los casi 20.000 registrados en este foro, todos los cuales nos ayudais a esforzarnos en superar las barreras que nos ponen los malwares, poniendo el listón muy alto, pero que hasta el momento hemos logrado saltar, pudiendo decir que estamos de fin de semana CON TODOS LOS PROBLEMAS TECNICOS BAJO CONTROL, por lo que sugerimos que no perdais el tiempo y aprovecheis nuestra experiencia... consultadnos !



saludos



ms, 22-09-2007