BAGLE.AI se expande de manera masiva y tiene poder destructivo

Distribuido entre los usuarios: Sí­

Idioma: Inglés

Plataforma: Windows 95, 98, ME, NT, 2000, XP

Encriptado: No

Tamaño del virus: 12,800 Bytes

Lista de virus que lo detecta: 965 (2.965.06)

Motor de búsqueda que lo detecta: 6.810

Descubierto: Ago. 31, 2004 9:18:00 AM GMT -0800

Detección disponible desde: Ago. 31, 2004 2:50:00 PM GMT -0700

Tipo de virus: WORM

Destructivo: Si

TrendLabs recibió varios reportes acerca de una nueva variante del virus BAGLE expandiéndose en Brasil, Estados Unidos y Canadá. Este gusano es ejecutado por el virus HTML_BAGLE.AI, y llega comprimido en formato .ZIP, el cual es enviado masivamente por correo electrónico por un componente propio de este gusano.

Luego de su ejecución realiza una copia de si mismo con el nombre de archivo DORIOT.EXE en la carpeta de sistema de Windows. Además copia un componente con el nombre de archivo GDQFW.EXE en la misma carpeta.

Luego crea las siguientes entradas en el registro de Windows para autoejecutarse durante el inicio del sistema operativo:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwersds.exe = "%System%doriot.exe HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunwersds.exe = "%System%doriot.exe"También intenta eliminar los siguientes procesos de antivirus:ATUPDATER.EXEATUPDATER.EXEAUPDATE.EXEAUTODOWN.EXEAUTOTRACE.EXEAUTOUPDATE.EXEAVPUPD.EXEAVWUPD32.EXEAVXQUAR.EXEAVXQUAR.EXECFIAUDIT.EXEDRWEBUPW.EXEESCANH95.EXEESCANHNT.EXEFIREWALL.EXEICSSUPPNT.EXEICSUPP95.EXELUALL.EXEMCUPDATE.EXENUPGRADE.EXENUPGRADE.EXEOUTPOST.EXEUPDATE.EXEUPGRADER.EXE Este gusano intenta descargar y ejecutar sus propios componentes desde las siguientes direcciones de Internet:m/b.jpghel.jpgwww/b.jpgwww.pl/b.jpgwww./b.jpgwww.m.ua/b.jpgwww.police.pl/b.jpgwww.exting.lg.ua/b.jpgwww.45paot.com/b.jpgwww.mot1.com/b.jpgwww.f/b.jpgwww.m.pl/b.jpgwww.l/b.jpgwww..jpgwww.com/b.jpgwww.ik/b.jpgwww.neb.jpgwww.ab.jpgwww.gem.ru/b.jpgwww.om.ua/b.jpgwww.a.ee/b.jpgwww.hb.jpgwww.zowery.pl/b.jpgwww.tib.jpgwww.spl/b.jpgwww.p-boogie.pl/b.jpg/b.jpgwww..pl/b.jpgwww..net/b.jpgwww..pl/b.jpgwww..de/b.jpgwww..pl/b.jpgwww..co.yu/b.jpgwww..rv.ua/b.jpgwww.-beauty.at/b.jpgwww.-studio.at/b.jpgwww..aon.at/b.jpgwww.-beauty.at/b.jpg.ru/b.jpgwww..com/b.jpgwww..net/b.jpgwww.r-.ru/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpg.com/b.jpgwww..com/b.jpgwww..fast.net/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpg.com/b.jpg.com/b.jpg.com/b.jpgwww..com/b.jpg.org/b.jpg.org/b.jpg.com/b.jpg.com/b.jpg.com/b.jpgwww..com/b.jpgwww..com/b.jpg.com/b.jpg.com/b.jpg.com/b.jpg.com/b.jpgwww..iap.pl/b.jpgwww.-computers.com.ar/b.jpgwww..sk/b.jpgwww..pl/b.jpgwww..pl/b.jpgwww..pl/b.jpgwww..spb.ru/b.jpgwww..spb.ru/b.jpgwww..bbe.pl/b.jpgwww..pl/b.jpgwww..sk/b.jpgwww..com.ar/b.jpgwww..pl/b.jpgwww..pl/b.jpgshock..com.pl/b.jpgwww..spb.ru/b.jpgwww..gda.pl/b.jpgwww.-max.it/b.jpgwww..net/b.jpgwww..cz/b.jpgwww..cz/b.jpgwww..pl/b.jpgwww..friko.pl/b.jpgwww..com/b.jpgwww..com/b.jpgwww..com/b.jpgwww..pl/b.jpgwww.-network.net/b.jpgwww..gliwice.pl/b.jpgwww..pl/b.jpg.pl/b.jpgwww..pl/b.jpgwww..pl/b.jpgwww..sk/b.jpg.sk/b.jpgwww..sk/b.jpgwww..sk/b.jpg.psg.sk/b.jpgwww..sk/b.jpgwww..ro/b.jpgwww..go.ro/b.jpg.go.ro/b.jpgwww..go.ro/b.jpgwww..friko.pl/b.jpgwww..ru/b.jpgwww..by/b.jpgwww.-m.by/b.jpgwww.da-.co.il/b.jpgwww..co.ke/b.jpgwww..com/b.jpgwww..pl/b.jpgwww..it/b.jpgwww..piwko.pl/b.jpgwww..republika.pl/b.jpgwww.oto./b.jpgwww..ru/b.jpg El Laboratorio de Trend Micro va a estar lanzando los siguientes elementos de prevención: TMCM Outbreak Prevention Policy 128 0fficial Pattern Release 2.166.00 Damage Cleanup Template 411