Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Bagle.HX realiza las siguientes acciones:
- Presenta funciones de rootkit, lo que le permite ocultar archivos, procesos y entradas del Registro de Windows.
- Intenta desactivar los siguientes servicios:
A
Aavmker4, ABVPN2K, ADBLOCK.DLL, ADFirewall, AFWMCL, Ahnlab, alerter, AlertManger, AntiVir, AntiyFirewall, ARP.DLL, aswMon2, aswRdr, aswTdi, aswUpdSv, Ati, avast!, AVEService, AVExch32Service, AvFlt, Avg7Alrt, Avg7Core, Avg7RsW, Avg7RsXP, Avg7UpdSvc, AvgCore, AvgFsh, AVGFwSrv, AvgFwSvr, AvgServ, AvgTdi, AVIRAMailService, AVIRAService, avpcc, AVUPDService, AVWUpSrv, AvxIni, awhost32.
B
backweb, BackWeb, Bdfndisf, bdftdif, bdss, BlackICE, BsFileSpy, BsFirewall, BsMailProxy.
C
CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, CONTENT.DLL.
D
DefWatch, DNSCACHE.DLL, drwebnet, dvpapi, dvpinit.
E
ewido.
F
firewall, F-Prot, fsbwsys, FSDFWD, F-Secure, FSFW, FSMA, FTPFILT.DLL, FwcAgent, fwdrv.
G
Guard.
H
HSnSFW, HSnSPro, HTMLFILT.DLL, HTTPFILT.DLL.
I
IMAPFILT.DLL, InoRPC, InoRT, InoTask, Ip6Fw, Ip6FwHlp.
K
KAVMonitorService, KAVSvc, KLBLMain, KPfwSvc, KWatch3, KWatchSvc.
M
MAILFILT.DLL, McAfee, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, Microsoft, MonSvcNT, MpfService.
N
navapsvc, NDIS_RD, Ndisuio, Network, nipsvc, NISSERV, NISUM, NNTPFILT.DLL, NOD32ControlCenter, NOD32krn, NOD32Service, Norman, Norton, NPDriver, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService.
O
OfcPfwSvc, Outbreak, Outpost, OutpostFirewall.
P
PASSRV, PAVAGENTE, PavAtScheduler, PAVDRV, PAVFIRES, PAVFNSVR, Pavkre, PavProc, PavProt, PavPrSrv, PavReport, PAVSRV, PCC_PFW, PCCPFW, PersFW, Personal, POP3FILT.DLL, PREVSRV, PROTECT.DLL, PSIMSVC.
Q
qhwscsvc, Quick.
R
ravmon8, RfwService.
S
SAVFMSE, SAVScan, SBService, schscnt, SECRET.DLL, SharedAccess, SmcService, SNDSrvc, SPBBCSvc, SpiderNT, SweepNet, SWEEPSRV.SYS, Symantec.
T
T_H_S_M, The_Hacker_Antivirus, tm_cfw, Tmntsrv, TmPfw, tmproxy, tmtdi.
V
V3MonNT, V3MonSvc, Vba32ECM, Vba32ifs, Vba32Ldr, Vba32PP3, VBCompManService, VexiraAntivirus, VFILT, VisNetic, vrfwsvc, vsmon, VSSERV.
W
WinAntivirus, WinRoute, wuauserv, wuauserv.
X
xcomm.
Estos servicios pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. - Intenta descargar un archivo desde las siguientes páginas web:
http://8marta.ru/img/path
http://asvt.ru/images
http://avistrade.ru/prog/img/proizvod
http://calimasurf.com/images/base/orig
http://celebrationsinspain.com/images
http://coral-adventures.com/images
http://dearruthie.com/images
http://dmax.ru/images
http://efpa-eg.net/images
http://ferrumcomp.ru/images
http://financialbusiness.ca/images
http://golden-ring.net/images
http://goodbathscents.com/images
http://jamminjo.com/images
http://kmold.biz/images
http://kokon.com/images
http://komt.ru/images
http://magian.ru/images
http://merkur-akademie.de/images
http://mir-vesov.ru/p/lang/CVS
http://monomah-city.ru/vakans
http://nakorable.ru/htdocs/img
http://optimsasia.com/images
http://pvcps.ru/images
http://raz-naraz.wz.cz/html/fanklub
http://redshop.ru/images
http://roszvetmet.com/images
http://schiffsparty.de/bilder/uploads
http://sdom.ru/images
http://service6.valuehost.ru/images
http://spbso.ru/images
http://stroyindustry.ru/service/construction
http://tarkan.ru/images
http://transaerotours.ru/img
http://trehrechie.ru/images
http://turnstylesticketing.com/images
http://twilightzone.cz/distro
http://vladzernoproduct.ru/control/sell/t
http://vniipo.ru/images/_notes
http://voelckergmbh.de/images
http://vserozetki.ru/images
http://vtr-spb.ru/fp/mikrobus/gazel
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau
http://www.belteh.ru/images/ludi
http://www.bmblawfirm.com/images
http://www.deadlygames.de/DG/BF/BF-Links/clans
http://www.emil-zittau.de/karten
http://www.enertelligence.com/playitsafe/images
http://www.enkor.ru/images
http://www.etype.hostingcity.net/mysql_admin_new/images
http://www.g-antssoft.com/images/icon/jpg/blog
http://www.ipromocionales.com/images
http://www.katjas-reisen.de/blog/images/colors
http://www.levada.ru/htmlarea/images
http://www.mirage.ru/sport/omega/pic/omega
http://www.moscowapartments.ru/images/_vti_cnf
http://www.ordendeslichts.de/intern
http://www.pechki.ru/images
http://www.rhone.ch/images
http://www.zdom.ru/images
Este archivo puede ser de cualquier naturaleza, incluyendo malware.
Metodo de Infección
Bagle.HX crea los siguientes archivos:
- HIDR.EXE, en C:\Documents and Settings\%nombreusuario%\Application Data\hidires. Este archivo es una copia del gusano.
En referencias posteriores, en lugar del nombre completo se utilizará la variable %ruta%. - M_HOOK.SYS, en %ruta%. Este archivo es detectado como Rootkit/Akill.
- WINTEMS.EXE en el directorio de sistema de Windows.
Bagle.HX crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
drvsyskit = %path%\hidires\hidr.exe - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
german.exe = %sysdir%\wintems.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Bagle.HX consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
port=5b7e - HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
wdrn=1 - HKEY_CURRENT_USER\ SOFTWARE\ DateTime4
uid= <aleatorio>
Bagle.HX crea la siguiente ruta en el Registro de Windows:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ m_hook
con las entradas necesarias para registrarse como servicio del sistema.
Este servicio le proporciona al gusano funcionalidades de rootkit, lo que le permite ocultar archivos, procesos y entradas del Registro de Windows.
Otros Detalles
Bagle.HX está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 15876 Bytes.