Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Bagle.T. Se propaga sin adjuntos
 
VSantivirus No. 1352 Año 8, viernes 19 de marzo de 2004

 W32/Bagle.T. Se propaga sin adjuntos
http://www.vsantivirus.com/bagle-t.htm

Nombre: W32/Bagle.T
Tipo: Gusano de Internet
Alias: Bagle.T, W32/Bagle.t@MM, PE_BAGLE.T, W32.Beagle.R@mm, W32/Bagle-T, W32/Bagle.t, Win32/Bagle.T, Win32.Bagle.T, W32/Bagle.T@mm, Win32/Bagle.T.Worm, Win32.Bagle.Q, VBS.Suzer.D, I-Worm.Win32.Bagle.s
Plataforma: Windows 32-bit
Tamaño: variable
Fecha: 18/mar/04

Detectado el 18 de marzo de 2004, es una variante modificada del Bagle.Q.

Llega en un mensaje que no contiene adjuntos. Cuando se abre el mensaje, éste intenta explotar una vulnerabilidad en el Outlook que permite la descarga en forma automática del archivo del gusano desde otra computadora infectada.

Ello lo realiza por medio de un script de Visual Basic, y de una solicitud HTTP al puerto TCP/81 en la máquina infectada.

La copia es descargada en la carpeta del sistema con el nombre DIRECTS.EXE y ejecutada.

Esta variante crea en lugar de lo indicado en la descripción de la versión "Q", las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\windirect

HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
directs.exe = c:\windows\system\directs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Ru1n
directs.exe = c:\windows\system\directs.exe

Note que crea dos claves llamadas "Ru1n" (contiene un número "1"), cuando supuestamente debería ser "Run". Borre las dos claves "Ru1n" al borrar el gusano.

Para otros detalles, vea la descripción de la variante "Q":

W32/Bagle.Q. Se propaga sin utilizar adjuntos
http://www.vsantivirus.com/bagle-q.htm

La vulnerabilidad que permite la ejecución automática de este gusano, fue reparada por Microsoft en octubre de 2003.

Más información:

MS03-040 Actualización acumulativa para IE (828750)
Vulnerabilidad de etiquetas de objeto en ventanas pop-up
http://www.vsantivirus.com/vulms03-040.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS