BAGLE.AI se expande de manera masiva y tiene poder destructivo

Distribuido entre los usuarios: Sí­

Idioma: Inglés

Plataforma: Windows 95, 98, ME, NT, 2000, XP

Encriptado: No

Tamaño del virus: 12,800 Bytes

Lista de virus que lo detecta: 965 (2.965.06)

Motor de búsqueda que lo detecta: 6.810

Descubierto: Ago. 31, 2004 9:18:00 AM GMT -0800

Detección disponible desde: Ago. 31, 2004 2:50:00 PM GMT -0700

Tipo de virus: WORM

Destructivo: Si

TrendLabs recibió varios reportes acerca de una nueva variante del virus BAGLE expandiéndose en Brasil, Estados Unidos y Canadá. Este gusano es ejecutado por el virus HTML_BAGLE.AI, y llega comprimido en formato .ZIP, el cual es enviado masivamente por correo electrónico por un componente propio de este gusano.

Luego de su ejecución realiza una copia de si mismo con el nombre de archivo DORIOT.EXE en la carpeta de sistema de Windows. Además copia un componente con el nombre de archivo GDQFW.EXE en la misma carpeta.

Luego crea las siguientes entradas en el registro de Windows para autoejecutarse durante el inicio del sistema operativo:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwersds.exe = "%System%doriot.exe

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunwersds.exe = "%System%doriot.exe"

También intenta eliminar los siguientes procesos de antivirus:

ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
UPGRADER.EXE


Este gusano intenta descargar y ejecutar sus propios componentes desde las siguientes direcciones de Internet:


m/b.jpg
hel.jpg
www/b.jpg
www.pl/b.jpg
www./b.jpg
www.m.ua/b.jpg
www.police.pl/b.jpg
www.exting.lg.ua/b.jpg
www.45paot.com/b.jpg
www.mot1.com/b.jpg
www.f/b.jpg
www.m.pl/b.jpg
www.l/b.jpg
www..jpg
www.com/b.jpg
www.ik/b.jpg
www.neb.jpg
www.ab.jpg
www.gem.ru/b.jpg
www.om.ua/b.jpg
www.a.ee/b.jpg
www.hb.jpg
www.zowery.pl/b.jpg
www.tib.jpg
www.spl/b.jpg
www.p-boogie.pl/b.jpg
/b.jpg
www..pl/b.jpg
www..net/b.jpg
www..pl/b.jpg
www..de/b.jpg
www..pl/b.jpg
www..co.yu/b.jpg
www..rv.ua/b.jpg
www.-beauty.at/b.jpg
www.-studio.at/b.jpg
www..aon.at/b.jpg
www.-beauty.at/b.jpg
.ru/b.jpg
www..com/b.jpg
www..net/b.jpg
www.r-.ru/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
.com/b.jpg
www..com/b.jpg
www..fast.net/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
.com/b.jpg
.com/b.jpg
.com/b.jpg
www..com/b.jpg
.org/b.jpg
.org/b.jpg
.com/b.jpg
.com/b.jpg
.com/b.jpg
www..com/b.jpg
www..com/b.jpg
.com/b.jpg
.com/b.jpg
.com/b.jpg
.com/b.jpg
www..iap.pl/b.jpg
www.-computers.com.ar/b.jpg
www..sk/b.jpg
www..pl/b.jpg
www..pl/b.jpg
www..pl/b.jpg
www..spb.ru/b.jpg
www..spb.ru/b.jpg
www..bbe.pl/b.jpg
www..pl/b.jpg
www..sk/b.jpg
www..com.ar/b.jpg
www..pl/b.jpg
www..pl/b.jpg
shock..com.pl/b.jpg
www..spb.ru/b.jpg
www..gda.pl/b.jpg
www.-max.it/b.jpg
www..net/b.jpg
www..cz/b.jpg
www..cz/b.jpg
www..pl/b.jpg
www..friko.pl/b.jpg
www..com/b.jpg
www..com/b.jpg
www..com/b.jpg
www..pl/b.jpg
www.-network.net/b.jpg
www..gliwice.pl/b.jpg
www..pl/b.jpg
.pl/b.jpg
www..pl/b.jpg
www..pl/b.jpg
www..sk/b.jpg
.sk/b.jpg
www..sk/b.jpg
www..sk/b.jpg
.psg.sk/b.jpg
www..sk/b.jpg
www..ro/b.jpg
www..go.ro/b.jpg
.go.ro/b.jpg
www..go.ro/b.jpg
www..friko.pl/b.jpg
www..ru/b.jpg
www..by/b.jpg
www.-m.by/b.jpg
www.da-.co.il/b.jpg
www..co.ke/b.jpg
www..com/b.jpg
www..pl/b.jpg
www..it/b.jpg
www..piwko.pl/b.jpg
www..republika.pl/b.jpg
www.oto./b.jpg
www..ru/b.jpg

El Laboratorio de Trend Micro va a estar lanzando los siguientes elementos de prevención:

TMCM Outbreak Prevention Policy 128 0fficial Pattern Release 2.166.00 Damage Cleanup Template 411