Estás en: Panda Security > Empresas > Security Info > about-malware > encyclopedia > detalle
Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Encyclopedia GetVirusCard True 0

Bagle.Q

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Bagle.Q realiza las siguientes acciones:

  • Infecta ficheros PE, incrementando su tamaño en 26 KBytes.
  • Se conecta a varias direcciones IP e intenta descargar y ejecutar un fichero en el ordenador afectado.
    Para ver la lista completa de direcciones IP a las que se conecta, pulse aquí.
  • Termina los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema, entre otros:
    AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET.EXE, CFINET32.EXE, CFINET32.EXE, CLEAN.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANER3.EXE, CLEANPC.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMGRDIAN.EXE, CMON016.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLO

    Metodo de Infección 

    Bagle.Q crea los ficheros DIRECTS.EXE y DIRECTS.EXEOPEN en el directorio de sistema de Windows. Estos ficheros son una copia del gusano.

    Bagle.Q crea la siguiente entrada en el Registro de Windows:

    • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      directs.exe = %sysdir%\ directs.exe
      donde %sysdir% es el directorio de sistema de Windows.
      Mediante esta entrada, Bagle.Q se asegura de que es ejecutado cada vez que se inicia Windows.

    Método de Propagación 

    Bagle.Q se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

    1.- Propagación a través de correo electrónico.

    Bagle.Q realiza el siguiente proceso:

    • Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:

      Remitente:
      Bagle.Q falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

      Asunto: uno de los siguientes:
      Account notify
      E-mail account disabling warning.
      E-mail account security warning.
      Email account utilization warning.
      Email report
      E-mail technical support message.
      E-mail technical support warning.
      E-mail warning
      Encrypted document
      Fax Message Received
      Forum notify
      Hidden message
      Important notify
      Important notify about your e-mail account.
      Incoming message
      Notify about using the e-mail account.
      Notify about your e-mail account utilization.
      Notify from e-mail technical support.
      Protected message
      Re: Document
      Re: Hello
      Re: Hi
      Re: Incoming Fax
      Re: Incoming Message
      Re: Msg reply
      RE: Protected message
      RE: Text message
      Re: Thank you!
      Re: Thanks :)
      Re: Yahoo!
      Request response
      Site changes
      Warning about your e-mail account.

      Contenido:
      El mensaje enviado por Bagle.Q incluye un código HTML. Este código aprovecha una vulnerabilidad de Internet Explorer que permite ejecutar cualquier programa arbitrario en el ordenador afectado.
      Para aprender más sobre esta vulnerabilidad y protegerse contra ella, acceda a la página de Microsoft pulsando aquí.

      Fichero adjunto: no contiene ningún fichero adjunto.
    • Cuando el mensaje es visualizado, Bagle.Q descarga un fichero al ordenador.
    • Bagle.Q busca direcciones de correo electrónico en ficheros que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
    • Bagle.Q se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
    • Bagle.Q realiza consultas MX para obtener las direcciones IP de los dominios de correo.

    2.- Propagación a través de programas de intercambio de ficheros.

    Bagle.Q realiza el siguiente proceso:

    • Crea copias de sí mismo en directorios que contengan la cadena de texto shar. Utiliza los siguientes nombres de fichero:
      ACDSee 9.exe
      Adobe Photoshop 9 Full.exe
      Ahead Nero7.exe
      Matrix 3 Revolution English Subtitles.exe
      Microsoft Office 2003 Crack, Working!.exe
      Microsoft OfficeXP working Crack, Keygen.exe
      Microsoft Windows XP, WinXP Crack,working Keygen.exe
      Opera 8 New!.exe
      Porno pics arhive, xxx.exe
      Porno Screensaver.scr
      Porno,sex, oral, analcool, awesome!!.exe
      Serials.txt.exe
      WinAmp 6 New!.exe
      WinAmp5 Pro Keygen Crack Update.exe
      Windown Longhorn Beta Leak.exe
      Windows Sourcecode update.doc.exe
      XXX hardcore images.exe
    • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.Q.
    • Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.Q.

    Otros Detalles  

    Bagle.Q está escrito en el lenguaje de programación Visual C++. Este virus tiene un tamaño de 25600 Bytes y está comprimido mediante UPX.

    Soporte técnico
    Soporte técnico

    Accesos rápidos

    Servicio de Asistencia de Instalación

    Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
    [+] info

    Servicio de Asistencia de Desinfección

    Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
    [+] info