acerca de
contacto
términos y condiciones
glosario
  > buscador
 
  > búsqueda avanzada
 principal
 alertas
 listas de correo
 noticias
 bulos
 enciclopedia
 virus
 envío de muestras
 para webmasters
Herramientas contra:
 

(c) Paolo Monti
  Enciclopedia Virus
es una página de
 >  VIRUS: WIN32/TROJANDOWNLOADER.SMALL.ZL
  descripción
  nombre: Win32/TrojanDownloader.Small.ZL
  aliases: TR/Dldr.Bagle.BR, Worm/Bagle.gen, Win32.Bagle.BO@mm, Worm.Bagle.BB-gen, Win32.HLLM.Beagle.36352, W32/Mitglieder.CD.gen-tr, Email-Worm.Win32.Bagle.bo, NewHeur_PE, W32/Downloader, Email-Worm.Win32.Bagle.bo, Win32/TrojanDownloader.Small.ZL
  tipo: Gusano de Internet
  fecha: 31/05/2005
  gravedad general:
Alta
  distribución:
Alta
  daño:
Alto
  tamaño: 36,352 Bytes
  destructivo: Si
  origen: Desconocido
  nombre asignado por: EnciclopediaVirus.com

 >  INFORMACION
Variante del gusano Bagle detectada el 31 de mayo de 2005, y enviada masivamente en forma de spam. Se trata de un troyano que libera al gusano en las máquinas infectadas (dropper).

 >  CARACTERISTICAS

El troyano es enviado como adjunto con el siguiente nombre:

  16_05_2005.exe

Cuando se ejecuta, se copia a si mismo en la siguiente ubicación:

  C:\WINDOWS\SYSTEM\winshost.exe
  C:\WINDOWS\SYSTEM\wiwshost.exe

Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  winshost.exe = "winshost.exe"

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  winshost.exe = "winshost.exe"

Luego, el troyano libera el siguiente archivo:

  C:\Windows\System\WIWSHOST.EXE

WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), de 18.944 bytes, que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnologia NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código.

Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer.

Para prevenir que el software antivirus pueda ser actualizado, se sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información:

  127.0.0.1 localhost
  127.0.0.1 ad .doubleclick .net
  127.0.0.1 ad .fastclick .net
  127.0.0.1 ads .fastclick .net
  127.0.0.1 ar .atwola .com
  127.0.0.1 atdmt .com
  127.0.0.1 avp .ch
  127.0.0.1 avp .com
  127.0.0.1 avp .ru
  127.0.0.1 awaps .net
  127.0.0.1 banner .fastclick .net
  127.0.0.1 banners .fastclick .net
  127.0.0.1 ca .com
  127.0.0.1 click .atdmt .com
  127.0.0.1 clicks .atdmt .com
  127.0.0.1 dispatch .mcafee .com
  127.0.0.1 download .mcafee .com
  127.0.0.1 download .microsoft .com
  127.0.0.1 downloads .microsoft .com
  127.0.0.1 engine .awaps .net
  127.0.0.1 fastclick .net
  127.0.0.1 f-secure .com
  127.0.0.1 ftp .f-secure .com
  127.0.0.1 ftp .sophos .com
  127.0.0.1 go .microsoft .com
  127.0.0.1 liveupdate .symantec .com
  127.0.0.1 mast .mcafee .com
  127.0.0.1 mcafee .com
  127.0.0.1 media .fastclick .net
  127.0.0.1 msdn .microsoft .com
  127.0.0.1 my-etrust .com
  127.0.0.1 nai .com
  127.0.0.1 networkassociates .com
  127.0.0.1 office .microsoft .com
  127.0.0.1 phx .corporate-ir .net
  127.0.0.1 secure .nai .com
  127.0.0.1 securityresponse .symantec .com
  127.0.0.1 service1 .symantec .com
  127.0.0.1 sophos .com
  127.0.0.1 spd .atdmt .com
  127.0.0.1 support .microsoft .com
  127.0.0.1 symantec .com
  127.0.0.1 update .symantec .com
  127.0.0.1 updates .symantec .com
  127.0.0.1 us .mcafee .com
  127.0.0.1 vil .nai .com
  127.0.0.1 viruslist .ru
  127.0.0.1 windowsupdate .microsoft .com
  127.0.0.1 www .avp .ch
  127.0.0.1 www .avp .com
  127.0.0.1 www .avp .ru
  127.0.0.1 www .awaps .net
  127.0.0.1 www .ca .com
  127.0.0.1 www .fastclick .net
  127.0.0.1 www .f-secure .com
  127.0.0.1 www .kaspersky .ru
  127.0.0.1 www .mcafee .com
  127.0.0.1 www .my-etrust .com
  127.0.0.1 www .nai .com
  127.0.0.1 www .networkassociates .com
  127.0.0.1 www .sophos .com
  127.0.0.1 www .symantec .com
  127.0.0.1 www .trendmicro .com
  127.0.0.1 www .viruslist .ru
  127.0.0.1 ftp://ftp .kasperskylab .ru/updates/
  127.0.0.1 ftp://ftp .avp .ch/updates/
  127.0.0.1 http://www .kaspersky .ru/updates/
  127.0.0.1 http://updates1 .kaspersky-labs .com/updates/
  127.0.0.1 http://updates3 .kaspersky-labs .com/updates/
  127.0.0.1 http://updates4 .kaspersky-labs .com/updates/
  127.0.0.1 http://updates2 .kaspersky-labs .com/updates/
  127.0.0.1 http://updates5 .kaspersky-labs .com/updates/
  127.0.0.1 http://downloads1 .kaspersky-labs .com/updates/
  127.0.0.1 http://www .kaspersky-labs .com/updates/
  127.0.0.1 ftp://updates3 .kaspersky-labs .com/updates/
  127.0.0.1 ftp://downloads1 .kaspersky-labs .com/updates/
  127.0.0.1 www3 .ca .com
  127.0.0.1 ids .kaspersky-labs .com
  127.0.0.1 downloads2 .kaspersky-labs .com
  127.0.0.1 downloads1 .kaspersky-labs .com
  127.0.0.1 downloads3 .kaspersky-labs .com
  127.0.0.1 downloads4 .kaspersky-labs .com
  127.0.0.1 liveupdate .symantecliveupdate .com
  127.0.0.1 liveupdate .symantec .com
  127.0.0.1 update .symantec .com
  127.0.0.1 download .mcafee .com
  127.0.0.1 www .symantec .com
  127.0.0.1 securityresponse .symantec .com
  127.0.0.1 symantec .com
  127.0.0.1 www .sophos .com
  127.0.0.1 sophos .com
  127.0.0.1 www .mcafee .com
  127.0.0.1 mcafee .com
  127.0.0.1 liveupdate .symantecliveupdate .com
  127.0.0.1 www .viruslist .com
  127.0.0.1 viruslist .com
  127.0.0.1 f-secure .com
  127.0.0.1 www .f-secure .com
  127.0.0.1 kaspersky .com
  127.0.0.1 kaspersky-labs .com
  127.0.0.1 www .avp .com
  127.0.0.1 www .kaspersky .com
  127.0.0.1 avp .com
  127.0.0.1 www .networkassociates .com
  127.0.0.1 networkassociates .com
  127.0.0.1 www .ca .com
  127.0.0.1 ca .com
  127.0.0.1 mast .mcafee .com
  127.0.0.1 my-etrust .com
  127.0.0.1 www .my-etrust .com
  127.0.0.1 download .mcafee .com
  127.0.0.1 dispatch .mcafee .com
  127.0.0.1 secure .nai .com
  127.0.0.1 nai .com
  127.0.0.1 www .nai .com
  127.0.0.1 update .symantec .com
  127.0.0.1 updates .symantec .com
  127.0.0.1 us .mcafee .com
  127.0.0.1 liveupdate .symantec .com
  127.0.0.1 customer .symantec .com
  127.0.0.1 rads .mcafee .com
  127.0.0.1 trendmicro .com
  127.0.0.1 www .trendmicro .com
  127.0.0.1 www .grisoft .com

El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres:

  Ahnlab task Scheduler
  alerter
  AlertManger
  AVExch32Service
  avg7alrt
  avg7updsvc
  AvgCore
  AvgFsh
  AvgServ
  AVPCC
  avpcc
  AVUPDService
  AvxIni
  awhost32
  backweb client-4476822
  backweb client - 4476822
  BackWeb Client - 7681197
  BlackICE
  CAISafe
  ccEvtMgr
  ccPwdSvc
  ccSetMgr
  ccSetMgr.exe
  DefWatch
  dvpapi
  dvpinit
  F-Secure Gatekeeper Handler Starter
  fsbwsys
  FSDFWD
  fsdfwd
  FSMA
  KAVMonitorService
  kavsvc
  KLBLMain
  McAfee Firewall
  McAfeeFramework
  McShield
  McTaskManager
  mcupdmgr.exe
  MCVSRte
  MonSvcNT
  navapsvc
  Network Associates Log Service
  NISSERV
  NISUM
  NOD32ControlCenter
  NOD32Service
  Norman NJeeves
  Norman ZANDA
  Norton Antivirus Server
  NPFMntor
  NProtectService
  NSCTOP
  nvcoas
  NVCScheduler
  nwclntc
  nwclntd
  nwclnte
  nwclntf
  nwclntg
  nwclnth
  NWService
  Outbreak Manager
  Outpost Firewall
  OutpostFirewall
  PASSRV
  PAVFNSVR
  Pavkre
  PavProt
  PavPrSrv
  PAVSRV
  PCCPFW
  PersFW
  PREVSRV
  PSIMSVC
  ravmon8
  SAVFMSE
  SAVScan
  SAVScan
  SAVScan
  SBService
  schscnt
  sharedaccess
  SharedAccess
  SmcService
  SNDSrvc
  SPBBCSvc
  SweepNet
  SWEEPSRV.SYS
  Symantec AntiVirus Client
  Symantec Core LC
  Tmntsrv
  V3MonNT
  V3MonSvc
  VexiraAntivirus
  VisNetic AntiVirus Plug-in
  vsmon
  wuauserv
  XCOMM

Intentará borrar las siguientes ramas del registro para desinstalar la protección antivirus de numerosos productos:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  McAfee.InstantUpdate.Monitor

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  APVXDWIN

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  avg7_cc

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  avg7_emc

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  ccApp

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  KAV50

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  McAfee Guardian

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  NAV CfgWiz

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  SSC_UserPrompt

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Symantec NetDriver Monitor

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Zone Labs Client

  HKLM\SOFTWARE\Agnitum

  HKLM\SOFTWARE\KasperskyLab

  HKLM\SOFTWARE\McAfee

  HKLM\SOFTWARE\Panda Software

  HKLM\SOFTWARE\Symantec

  HKLM\SOFTWARE\Zone Labs

Intentará borrar cualquier archivo con alguno de los siguientes nombres, en todos los discos duros del sistema infectado:

  a5v.dll
  AUPD1ATE.EXE
  AUPDATE.EXE
  av.dll
  Av1synmgr.exe
  Avc1onsol.exe
  Avconsol.exe
  avg23emc.exe
  avgc3c.exe
  avgcc.exe
  avgemc.exe
  Avsynmgr.exe
  C1CSETMGR.EXE
  c6a5fix.exe
  cafix.exe
  CC1EVTMGR.EXE
  cc1l30.dll
  ccA1pp.exe
  ccApp.exe
  CCEVTMGR.EXE
  ccl30.dll
  CCSETMGR.EXE
  ccv1rtrst.dll
  ccvrtrst.dll
  CM1Grdian.exe
  CMGrdian.exe
  is5a6fe.exe
  isafe.exe
  K2A2V.exe
  KAV.exe
  kav12mm.exe
  kavmm.exe
  LUAL1L.EXE
  LUALL.EXE
  LUI1NSDLL.DLL
  LUINSDLL.DLL
  Luup1date.exe
  Luupdate.exe
  Mcsh1ield.exe
  Mcshield.exe
  mysuperprog.exe
  NAV1APSVC.EXE
  NAVAPSVC.EXE
  NPFM1NTOR.EXE
  NPFMNTOR.EXE
  outp1ost.exe
  outpost.exe
  RuLa1unch.exe
  RuLaunch.exe
  s1ymlcsvc.exe
  SND1Srvc.exe
  SNDSrvc.exe
  SP1BBCSvc.exe
  SPBBCSvc.exe
  symlcsvc.exe
  Up222Date.exe
  Up2Date.exe
  ve6tre5dir.dll
  vetredir.dll
  Vs1Stat.exe
  vs6va5ult.dll
  Vshw1in32.exe
  Vshwin32.exe
  VsStat.exe
  vsvault.dll
  zatu6tor.exe
  zatutor.exe
  zatutor.exe
  zl5avscan.dll
  zlavscan.dll
  zlavscan.dll
  zlcli6ent.exe
  zlclient.exe
  zo3nealarm.exe
  zonealarm.exe
  zonealarm.exe

Intentará detener también los siguientes servicios:

  SharedAccess
  wscsvc

También intentará finalizar los procesos activos con cualquiera de los siguientes nombres:

  atupdater.exe
  aupdate.exe
  autodown.exe
  autotrace.exe
  autoupdate.exe
  avpupd.exe
  avwupd32.exe
  avxquar.exe
  avxquar.exe
  cfiaudit.exe
  drwebupw.exe
  escanh95.ex
  escanhnt.exe
  firewall.exe
  icssuppnt.exe
  icsupp95.exe
  luall.exe
  mcupdate.exe
  nupgrade.exe
  outpost.exe
  update.exe
  upgrader.exe

Intentará descargar el siguiente archivo:

  http://www.yannick-spruyt.be/osa.gif

Este archivo es guardado en la siguiente carpeta:

  C:\WINDOWS\ile.exe

Este troyano fue detectado proactivamente por la heurística de NOD32, aún antes de ser agregado a su base de datos.

 

 >  INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna "Nombre", la entrada "winshost.exe", en las siguientes claves del registro:

  HKCU\Software\Microsoft
  \Windows\CurrentVersion\Run

  HKLM\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run

3. Cierre el editor del registro.

4. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

  c:\windows\
  c:\windows\system32\drivers\etc\
  c:\winnt\system32\drivers\etc\

5. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

6. Borre todas las líneas que comiencen con un número, salvo las siguientes:

  127.0.0.1 localhost

7. Acepte guardar los cambios al salir del bloc de notas.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

 

 

 


ALERTAS | NOTICIAS | ENCICLOPEDIA | PARA WEBMASTERS
términos y condiciones | ayuda | contacto | acerca de
  > lista de correo...  
 

Introduzca su email y reciba las últimas noticias sobre virus.

  
   

  > alertas  
  Los más vistos:  
 
   Win32/Etap.E
 
 
   Win32/Mytob.PI
 
 
   Win32/Sober.Y
 
 
   Win32/Bagle.BI
 
 
   Win32/Sober.R
 

  > últimos virus  
  Últimos 5 virus, con sus descripciones:  
 
   09-12 | Win32/Etap.E
 
 
   09-12 | LockScreen.HW
 
 
   09-12 | LockScreen.JN
 
 
   14-05 | Spy.Swisyn.AC
 
 
   14-05 | Win32/Witkinat.B
 

  > ránking  
  5 virus más detectados por INTECO-CERT para PYMES y Ciudadanos:  
 
   Win32/Netsky.P  |  36.20 %
 
 
   Win32/Netsky.B  |  29.80 %
 
 
   Win32/Netsky.Q  |  6.60 %
 
 
   Bagle.FU  |  3.50 %
 
 
   Zafi.Gen  |  2.50 %
 
 
facilitado por     
 

  > sabías que...  
 

... voIP es una tecnología que permite la transmisión de voz utilizando el protocolo de redes IP.

 

ENCICLOPEDIA VIRUS 2002 - Todos los derechos reservados powered by