VSantivirus No. 1567 Año 8, jueves 21 de octubre de 2004
W32/Bagz.D. Desactiva cortafuegos de Windows
http://www.vsantivirus.com/bagz-d.htm
Nombre: W32/Bagz.D
Nombre Nod32: Win32/Bagz.D
Tipo: Gusano de Internet
Alias: Bagz.D, Win32/Bagz.D, W32/Bagz.d@MM, W32.Bagz@mm, W32.Bagz.D@mm
Fecha: 21/oct/04
Plataforma: Windows 32-bit
Tamaño: 157,186 bytes (EXE); 153,007 bytes (ZIP)
Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet.
Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos.
Los mensajes tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Administrator
- Allert!
- Amirecans
- ASAP
- Att
- attach
- attachments
- best regards
- contract
- Have a nice day
- Hello
- Money
- office
- please responce
- re: Andrey
- re: order
- re: please
- Read this
- Russian's
- text
- toxic
- urgent
- Vasia
- waiting
- Warning
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Did you get the previous document I attached for you? I
resent it in this email just in case, because I really
need you to check it out asap.
Best Regards
Ejemplo 2:
I made a mistake and forgot to click attach on the
previous email I sent you. Please give me your opinion
on this opportunity when you get a chance.
Best Regards
Ejemplo 3:
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family
if possible. It contains important info for both of
you.
Ejemplo 4:
Sorry, I forgot to send an important document to you in
that last email. I had an important phone call. Please
checkout attached doc file when you have a moment.
Best Regards
Ejemplo 5:
I was in a rush and I forgot to attach an important
document. Please see attached doc file.
Best Regards,
Ejemplo 6:
I am responding to your last email in the attached
file. Please get back to me if there is any problem
reading the attachment.
Ejemplo 7:
I had a delivery problem with your inbox, so maybe
you'll receive this now. For some reason, I received
only part of your last several emails. I want to make
sure that there are no problems with either of our
accounts. it was previously blocked by your email
filters.
Please view the attachment and respond.
Thanks
Ejemplo 8:
it was previously blocked by your email filters. Please
read the attachment and respond.
Thanks
Ejemplo 9:
My system crashed last weekend and I lost most of my
friends and work contacts. Please check the attached
(.pdf) and please let me know if your info is current.
Ejemplo 10:
The reason is that I am not currently added to your
"allowed" contact list. Please add my updated contact
info provided in the attached (.pdf) file so I can send
you emails in the future.
Sincerely
Ejemplo 11:
See the (.pdf) file attached and please respond if you
have any questions.
Ejemplo 12:
Please verify your mailing address on file is correct.
We have attached a (.pdf) sheet for you to use for your
response.
Ejemplo 13:
Our contact information has changed. See the attached
(.pdf) sheet for details.
Sincerely,
Ejemplo 14:
Due to your failure to comply with our email Rules and
Regulations, your email account has been temporarily
suspended for 24 hours unless we are contacted
regarding this situation. You must read the attached
document for further instructions. Failure to comply
will result in termination of your account.
Regards,
Net Operator
Ejemplo 15:
***URGENT: SERVICE SHUTDOWN NOTICE***
You are currently unable to send emails. This may be a
billing issue. Please call the billing center. The #
for the billing office is located in the attached
contact list for your convenience.
Ejemplo 16:
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
Hello,
The previous email you sent has been recognized as
spam. This means your email was not delivered to your
friend or client. You must open the attached file to
receive more information.
Ejemplo 17:
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
What version of windows you are using? This last
document I received from you came out weird. Please see
the attached word file and resend the file to me.
Many thanks,
User
Ejemplo 18:
My PC crashed while I was sending that last email. I
have re-attached the document of yours that I
discovered. Please read attached document and respond
ASAP.
Sincerely,
User
Ejemplo 19:
Your email was sent in an INVALID format. To verify
this email was sent from you, simply open the attached
email (.eml) file and click yes in the sender options
box.
Thank You, User
Ejemplo 20:
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User
Ejemplo 21:
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards, User
Ejemplo 22:
I resent this email as attachment because it was
previously blocked by your email filters. Please read
the attachment and respond.
Thanks,User
Ejemplo 23:
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User
Datos adjuntos: [uno de los siguientes]
about.doc [múltiples espacios] .exe
about.zip
admin.doc [múltiples espacios] .exe
admin.zip
archivator.doc [múltiples espacios] .exe
archivator.zip
archives.doc [múltiples espacios] .exe
archives.zip
ataches.doc [múltiples espacios] .exe
ataches.zip
backup.doc [múltiples espacios] .exe
backup.zip
docs.doc [múltiples espacios] .exe
docs.zip
documentation.doc [múltiples espacios] .exe
documentation.zip
help.doc [múltiples espacios] .exe
help.zip
inbox.doc [múltiples espacios] .exe
inbox.zip
manual.doc [múltiples espacios] .exe
manual.zip
outbox.doc [múltiples espacios] .exe
outbox.zip
payment.doc [múltiples espacios] .exe
payment.zip
photos.doc [múltiples espacios] .exe
photos.zip
rar.doc [múltiples espacios] .exe
rar.zip
readme.doc [múltiples espacios] .exe
readme.zip
save.doc [múltiples espacios] .exe
save.zip
sysboot.doc [múltiples espacios] .exe
zip.doc [múltiples espacios] .exe
zip.zip
Los archivos ZIP contienen una copia del gusano con una o dos extensiones separadas por espacios (JPG y PIF).
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\rpc32.exe
c:\windows\system32\run32.exe
c:\windows\system32\sysboot.doc [múltiples espacios] .exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano crea un servicio llamado "Network Explorer" para autoejecutarse en memoria (RPC32.EXE).
Deshabilita el cortafuegos de Windows XP, e instala su propio driver de redes para eludir el cortafuegos de la red local.
También puede descargar y ejecutar otros archivos desde Internet.
Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones:
.dbx
.htm
.tbb
.tbi
.txt
El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres:
@avp
@foo
@iana
@messagelab
@microsoft
abuse
admin
administrator@
all@
anyone@
bsd
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
oocies
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet:
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
ca .com
click .atdmt .com
clicks .atdmt .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
fastclick .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .fastclick .net
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .ru
www3 .ca .com
También elimina procesos y entradas en el registro, de múltiples aplicaciones de seguridad, relacionadas con los siguientes archivos:
804mbd1.chk
804mbd1.img
aboutplg.dll
alert.zap
appinit.ini
apwcmdnt.dll
apwutil.dll
ashavast.exe
ashbug.exe
ashchest.exe
ashdisp.exe
ashldres.dll
ashlogv.exe
ashmaisv.exe
ashpopwz.exe
ashquick.exe
ashserv.exe
ashsimpl.exe
ashskpcc.exe
ashskpck.exe
aswboot.exe
aswregsvr.exe
aswupdsv.exe
avcompbr.dll
avres.dll
bootwarn.exe
camupd.dll
ccavmail.dll
ccimscn.exe
cerbprovider.pvx
cfgwiz.exe
cfgwzres.dll
cimscan.dll
defalert.dll
djsalert.dll
dunzip32.dll
edisk.dll
email.zap
emscnres.dll
filter.zap
firewall.zap
framewrk.dll
ftscnres.dll
idlock.zap
imscnbin.inf
imscnres.inf
ltchkres.dll
mcappins.exe
mcavtsub.dll
mcinfo.exe
mcmnhdlr.exe
mcscan32.dll
mcshield.dll
mcshield.exe
mcurial.dll
mcvsctl.dll
mcvsescn.exe
mcvsftsn.exe
mcvsmap.exe
mcvsrte.exe
mcvsscrp.dll
mcvsshl.dll
mcvsshld.exe
mcvsskt.dll
mcvsworm.dll
mghtml.exe
mpfagent.exe
mpfconsole.exe
mpfservice.exe
mpftray.exe
mpfui.dll
mpfupdchk.dll
mpfwizard.exe
mvtx.exe
n32call.dll
n32exclu.dll
naiann.dll
naievent.dll
navap32.dll
navapscr.dll
navapsvc.exe
navapw32.dll
navapw32.exe
navcfgwz.dll
navcomui.dll
naverror.dll
navevent.dll
navlcom.dll
navlnch.dll
navlogv.dll
navlucbk.dll
navntutl.dll
navoptrf.dll
navopts.dll
navprod.dll
navshext.dll
navstats.dll
navstub.exe
navtasks.dll
navtskwz.dll
navui.dll
navui.nsi
navuihtm.dll
navw32.exe
navwnt.exe
netbrext.dll
ntclient.dll
oeheur.dll
officeav.dll
opscan.exe
outscan.dll
outscres.dll
patch25d.dll
patchw32.dll
persfw.exe
pfwadmin.exe
probegse.dll
programs.zap
ptchinst.dll
qconres.dll
qconsole.exe
qspak32.dll
quar32.dll
quarantine
quaropts.dat
s32integ.dll
s32navo.dll
savrt.sys
savrt32.dll
savrtpel.sys
savscan.exe
scan.dat
scandlvr.dll
scandres.dll
scanmgr.dll
scanserv.dll
scriptui.dll
scrpres.dll
scrpsbin.inf
scrstres.inf
sched.exe
sdpck32i.dll
sdsnd32i.dll
sdsok32i.dll
sdstp32i.dll
security.zap
shextbin.inf
shextres.inf
shlres.dll
sruledb.dll
ssleay32.dll
statushp.dll
symnavo.dll
tutorwiz.dll
vsagntui.dll
vsavpro.dll
vsdb.dll
vsmon.exe
vsoui.dll
vsoupd.dll
vsowow.dll
vsvault.dll
wormres.dll
zatutor.exe
zauninst.exe
zav.zap
zl_priv.htm
zlclient.exe
zlparser.dll
zonealarm.exe
Reparación manual
Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecutar Administrador de tareas.
a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer")
b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos"
3. En la lista de programas (nombre de imagen) localice el siguiente proceso:
rpc32.exe
4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea".
5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario.
Utilización de la herramienta "Process Explorer"
Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer".
Buscar y detener el servicio (Windows XP):
1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Network Explorer".
3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
Antivirus
1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
2. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\rpc32.exe
c:\windows\system32\run32.exe
c:\windows\system32\sysboot.doc [múltiples espacios] .exe
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
Información adicional
Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000
* En Windows XP SP2
1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad"
2. Active el cortafuego de Windows (si este se encuentra desactivado).
3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control.
* En Windows 2000 o Windows XP SP1
1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente:
services.msc
2. Presione el botón Aceptar.
* En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el.
* En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el.
3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático".
4. Bajo la opción "Estado del servicio" presione el botón "Iniciar".
5. Haga clic en el botón "Aceptar".
6. Reinicie el equipo.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|