W32/Bagle-D

Vea la información para eliminar gusanos.

Windows NT/2000/XP/2003

En Windows NT/2000/XP/2003 tendrá que editar las siguientes entradas del registro modificadas (opcional en Windows 95/98/Me).

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'

Cada usuario del sistema dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario, localice y borre cualquier referencia al gusano en:

HKU\[código de usuario]\Software\Microsoft\Windows\ CurrentVersion\Run

Cierre el editor del registro.

W32/Bagle-D es un gusano de email que se envía mediante su propio programa de correo SMTP a todas las direcciones encontradas en el disco duro.

Al ejecutarse, el gusano abre el bloc de notas, se copia en la carpeta System de Windows con el nombre README.EXE y crea los siguientes archivos en la misma carpeta:

DOC.EXE, archivo DLL usado para ejecutar ONDE.EXE ONDE.EXE, componente principal del gusano README.EXEOPEN, copia del gusano en formado comprimido ZIP

W32/Bagle-D crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run gouday.exe = <SYSTEM>\readme.exe

W32/Bagle-D también crea las siguientes entradas en el registro:

HKCU\Software\DateTime3\frun=1 HKCU\Software\DateTime3\port=2745 HKCU\Software\DateTime3\uid=<número>

W32/Bagle-D llega en un email con las siguientes características:

Asuntos: Price New Price-list Hardware devices price-list Weekly activity report Daily activity report Maria Jenny Jessica Registration confirmation USA government abolishes the capital punishment Freedom for everyone Flayers among us From Hair-cutter Melissa Camila Price-list Pricelist Price list Hello my friend Hi! Well... Greet the day The account Looking for the report You really love me? he he You are dismissed Accounts department From me Monthly incomings summary The summary Proclivity to servitude Ahtung! The employee

El mensaje estará en blanco

Archivo adjunto: archivo ZIP con nombre aleatorio

W32/Bagle-D abre el puerto 2745 y aguarda las instrucciones del atacante, que podría copiar y ejecutar archivos. El gusano contactará con un sitio Web para comunicar su disponibilidad y ubicación.

El gusano terminará los siguientes procesos:

ATUPDATER.EXE AVWUPD32.EXE AVPUPD.EXE LUALL.EXE DRWEBUPW.EXE ICSSUPPNT.EXE ICSUPP95.EXE UPDATE.EXE NUPGRADE.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE CFIAUDIT.EXE MCUPDATE.EXE NUPGRADE.EXE OUTPOST.EXE AVLTMAIN.EXE

A partir del 14 de marzo de 2004, W32/Bagle-D se eliminará a sí mismo y borrará las entradas que creó en el registro.