alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 9 de agosto de 2004 20:20:09 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Bagle-AQ es un gusano de email que se extiende enviando un archivo adjunto en formato comprimido Zip.
W32/Bagle-AQ inhabilita diferentes programas antivirus y de seguridad. W32/Bagle-AQ es un gusano de email que se extiende enviando un archivo adjunto en formato comprimido Zip en un mensaje sin asunto y con las siguientes características:
Mensaje: new price
Archivo adjunto:
price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip
El archivo ZIP contiene dos archivos, price.html y price.exe. El primero, detectado por Sophos Anti-Virus como JS/IllWill-A, ejecuta price.exe.
Price.exe es un programa de descarga que se copia en la carpeta del sistema de Windows con el nombre WINdirect.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\win_upd2.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\win_upd2.exe
Price.exe crea y ejecuta el archivo _dll.exe en la carpeta del sistema, que intentará descargar y ejecutar una copia de W32/Bagle-AQ desde diferentes sitios Web. Este proceso se repetirá cada 10 horas.
_dll.exe will intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad:
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
W32/Bagle-AQ se copia en la carpeta del sistema de Windows con el nombre windll.exe y crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n\erthgdr
W32/Bagle-AQ se copia en carpetas cuyo nombre incluya 'shar' con los siguientes nombres:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
W32/Bagle-AQ buscará direcciones de email a las que enviarse en archivos WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM y JSP.
W32/Bagle-AQ no se enviará a direcciones que incluyan:
@eerswqe
@derewrdgrs
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
|
