Virus Bagle.

[diorle]

Hola buenas.

Creo que tengo un bagle.



He pasado el elistarA el Elitriip y el Elibagla los resultados los posteo a continuacion:





Tue Sep 02 10:32:51 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Acciَn Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v11.66

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Reinicie para Completar la Limpieza.



Tue Sep 02 10:37:46 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Acciَn Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v11.66

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle



Tue Sep 02 10:37:54 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Exploraciَn):

Explorando Unidad C:\

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\299468.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\77218.EXE --> Eliminado Bagle.VR

C:\WINDOWS\system32\drivers\downld\80984.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\downld\86328.EXE --> Eliminado Bagle.VR



N؛ Total de Directorios: 2868

N؛ Total de Ficheros: 30668

N؛ de Ficheros Analizados: 6894

N؛ de Ficheros Infectados: 5

N؛ de Ficheros Limpiados: 5



Tue Sep 02 10:46:37 2008

EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

----------------------------------------------

Lista de Acciones (por Exploraciَn):

Explorando Unidad D:\



N؛ Total de Directorios: 1279

N؛ Total de Ficheros: 26695

N؛ de Ficheros Analizados: 185

N؛ de Ficheros Infectados: 0

N؛ de Ficheros Limpiados: 0



Tue Sep 02 10:47:58 2008

EliStartPage v16.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acciَn Directa):

Eliminada Carpeta "%WinDir%\PeerNet"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 02 10:48:07 2008

EliStartPage v16.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploraciَn):

Explorando Unidad C:\

C:\util\SEtool3-II\SETOOL2LIB.DLL --> Infectado, Spy.Delf.CB



N؛ Total de Directorios: 2868

N؛ Total de Ficheros: 30662

N؛ de Ficheros Analizados: 8512

N؛ de Ficheros Infectados: 1

N؛ de Ficheros Limpiados: 0



una vez eliminado el Bagle procedo a pasar el Kapersky online:





C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Temp\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Victor\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Victor\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Victor\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Victor\ntuser.dat Object is locked saltado



C:\Documents and Settings\Victor\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\Victor\RunDll32 cmicnfg.cpl,CMICtrlWnd Infectados: Trojan-Downloader.Win32.Bagle.aad saltado



C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66 Infectados: Trojan-Downloader.Win32.Bagle.aad saltado



C:\Muestras\SROSA.SYS.Muestra EliBagle v11.66 Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\Outlook Express\Bandeja de entrada.dbx Object is locked saltado



C:\Outlook Express\Folders.dbx Object is locked saltado



C:\Outlook Express\Offline.dbx Object is locked saltado



C:\Outlook Express\Pop3uidl.dbx Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP128\A0018392.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP128\A0018395.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP128\A0018396.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP129\A0018572.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP129\A0018587.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP129\A0018591.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP129\A0018592.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP130\A0018601.exe Infectados: Trojan.Win32.Pakes.keq saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP130\A0018607.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP130\A0018608.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP130\A0018609.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP130\A0018616.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP130\A0018650.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018703.exe Infectados: Trojan.Win32.Pakes.keq saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018709.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018710.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018711.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018718.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018749.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP131\A0018792.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP132\A0018808.exe Infectados: Email-Worm.Win32.Bagle.vr saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP132\A0018809.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP132\A0018938.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP132\A0018939.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0018964.exe Infectados: Email-Worm.Win32.Bagle.vr saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0018965.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0019090.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0019091.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0019103.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0019104.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP133\A0019105.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP134\A0019111.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP134\A0019112.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP134\A0019113.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP134\A0019118.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP134\A0019134.exe Infectados: Email-Worm.Win32.Bagle.vr saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0019275.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0019276.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0019277.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0019282.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0019295.exe Infectados: Email-Worm.Win32.Bagle.vr saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0019429.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025449.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025450.sys Infectados: Trojan-Downloader.Win32.Bagle.zf saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025451.exe Infectados: Trojan-Downloader.Win32.Bagle.aad saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025452.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025453.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025454.exe Infectados: Email-Worm.Win32.Bagle.vr saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025455.exe Infectados: Email-Worm.Win32.Bagle.of saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025456.exe Infectados: Email-Worm.Win32.Bagle.vr saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025467.exe Infectados: Trojan-Downloader.Win32.Bagle.aad saltado



C:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\change.log Object is locked saltado



C:\WINDOWS\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\Historial\History.IE5\index.dat Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



D:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\change.log Object is locked saltado



D:\System Volume Information\_restore{F6273185-D25B-4A53-9AAF-8F50DD9E05DA}\RP135\A0025468.exe Infectados: Trojan-Downloader.Win32.Bagle.aad saltado







Análisis completado.



De los cuales:



Borrado a mano :C:\Documents and Settings\Victor\RunDll32 cmicnfg.cpl,CMICtrlWnd Infectados: Trojan-Downloader.Win32.Bagle.aad saltado



Envio de muestras :



C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66 Infectados: Trojan-Downloader.Win32.Bagle.aad saltado



C:\Muestras\SROSA.SYS.Muestra EliBagle v11.66 Infectados: Trojan-Downloader.Win32.Bagle.zf saltado





ME gustaria borrar los archivos infectados ene l system volume information para mas seguridad.





o en todo caso seguir vuestras recomendaciones.



Saludos y gracias a todos.







p.d. Aprovecho para comentar que tengo un problema con windows: No puedo poner el teclado en español, por tanto no me reconoce ñ ni acentos ni nada parecido Ejemplo:Lista de Acciones (por Exploraciَn):

Si algien sabe como solucionarlo se lo agradeceria.

[msc hotline sat]

Pues no le deciamos que borrara nada ! Los informes los analizamos y le decimos lo que ha de hacer, salvo que se lo digamos explicitamente en el informe, como en el caso del infosat, pero no sabemos lo que ha hecho con lo que dice:


[quote]Borrado a mano :C:\Documents and Settings\Victor\RunDll32 cmicnfg.cpl,CMICtrlWnd Infectados: Trojan-Downloader.Win32.Bagle.aad saltado [/quote]

No sé si se refiere a la clave o al cmicnfg.cpl, pero si ha hecho esto último nos hemos quedado sin muestra para analizar y por tanto sin poder implementar su control y eliminacion en nuestras utilidades !!!



Maximo se puede renombrar su extension a .VIR para que no sea ejecutable a partir del proximo reinicio, pero borrar ficheros sospechosos es quemar sus naves !





Y los ficheros del RESTORE ya los eliminaremos con el ELIBAGLA cuando controlemos dichas muestras



En la proxima version del ELIBAGLA controlaremos las muestras recibidas.



saludos



ms, 2-09-2008

[lucl]

No debiste borrar el bagle que eliminaste, debias enviarlo tambien para analizarlo y controlarlo, mira de reiniciar y si se reproduce lo renombras a .VIR y nos lo envias . Saludos

[msc hotline sat]

El Bagle no es de los que se regenera, pero sí que modifica claves que impiden arrancar en modo seguro aunque se elimine el fichero malware.



Como que son muchas las muestras recibidas del Bagle estos ultimos días, igual alguna corresponde a la variante del que eliminaste en lugar de enviarnos, asi que esta tarde, despues de las 7 PM GMT, descarga de nuevo el ELIBAGLA, QQque deberá ser la versión 11.67 de hoy, en la que habremos implementado el control y eliminacion de todas las muestras recibidas de dicha familia.



Pruebalo y nos comentas el resultado, gracias



saludos



ms, 4-09-2008