Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

BlackAngel.B
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

BlackAngel.B realiza las siguientes acciones:

Cuatro días después de haber infectado el ordenador, impide que pueda ser arrancado, ya que elimina todos los elementos de varias rutas del Registro de Windows.
Mientras realiza este proceso, muestra en pantalla unos cartuchos de dinamita con una cuenta atrás.
Cuando la cuenta atrás llega a 0, el ordenador se apaga:

Pulse aquí para ver una secuencia que ilustra este proceso.
Intenta finalizar los procesos que contengan alguna de las siguientes cadenas de texto:

_
_AVPCC

A
ACKWIN32, AD-AWARE, ADMINTOOL, ADVXDWIN, AGENTA, AGENTSVR, ALERTSVC, ALOGSERV, AMON9X, ANTITROJ, ANTI-TROJAN, ANTIVIRUS, APIMONITOR, APLICA32, APVXDWIN, ASHDISP, ASHQUICK, ATGUARD, ATRO55EN, ATUPDATER, ATWATCH, AUTODOWN, AUTOTRACE, AVCONSOL, AVENGINE, AVGCC32, AVGCTRL, AVGSERV, AVGSERV9, AVGUARD, AVKPOP, AVKSERV, AVKSERVICE, AVKWCTL, AVKWCTL9, AVSCHED32, AVSYNMGR, AVWINNT, AVXGUI, AVXLIVE, AVXMONITOR9X, AVXMONITORNT, AVXQUAR.

B
BD_PROFESSIONAL, BIDSERVER, BLACKD, BLACKICE, BOOTSCAN, BOOTWARN.

C
CCEVTMGR, CFGINTPR, CFGWIZ, CFIADMIN, CFIAUDIT, CFINET, CFINET32, CLAW95, CLAW95CF, CLEANER, CLEANER3, CLEANPC, CMGRDIAN, CMON016, CONNECTIONMONITOR, CPFNT206, CWNB181, CWNTDWMO.

D
DEFSCANGUI, DEFWATCH, DEPUTY, DPATROL, DRWEB32, DRWEBSCD.

E
ECENGINE, EFPEADM, ESCANH95, ESCANHNT, ESCANV95, ESPWATCH, ETRUSTCIPE, EXANTIVIRUS-CNET, EXPERT.

F
F-AGNT95, FAMEH32, FINDVIRU, FIREWALL, FLOWPROTECTOR, FNRB32, F-PROT, F-PROT95, FP-WIN, FSAV32, FSAV530STBYB, FSAVSTRT, FSGK32, FSMA32, FSMB32, F-STOPW.

G
GBMENU, GBPOLL, GENERICS, GLADIATOR, GUARDDOG, GUARDER.

H
HACKERELIMINATOR, HACKTRACERSETUP.

I
IAMAPP, IAMSERV, IAMSTATS, IBMASN, IBMAVSP, ICLOAD95, ICLOADNT, ICSUPP95, ICSUPPNT, IOMON98, IPARMOR, ISRV95.

J
JAMMER.

K
KAVLITE40ENG.

M
MCVSSHLD, MFW2EN, MGAVRTCL, MGAVRTE, MGHTML, MGUTIL, MINILOG, MONITOR, MOOLIVE, MPFTRAY, MSSMMC32, MWATCH.

N
N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVSTUB, NAVW32, NAVWNT, NEOWATCHLOG, NEOWATCHTRAY, NETARMOR, NETINFO, NETMON, NETSCANPRO, NETSPYHUNTER-1.2, NETUTILS, NISSERV, NORMIST, NPFMESSENGER, NPSSVC, NSCHED32, NTRTSCAN, NTXCONFIG, NVARCH16, NWSERVICE, NWTOOL16.

O
OSTRONET, OUTPOST.

P
PADMIN, PANIXK, PAVFIRES, PAVPROXY, PAVSRV51, PCCCLIENT, PCCGUIDE, PCCIOMON, PCCNTMON, PCCPFW, PCCWIN97, PCCWIN98, PCFWALLICON, PCSCAN, PERISCOPE, PERSFW, PFWADMIN, PINGSCAN, PLATIN, POP3TRAP, POPROXY, PORTDETECTIVE, PORTMONITOR, PPVSTOP, PRAZNA, PROCMAN, PROGRAMAUDITOR, PROPORT, PROTECTX, PVIEW95.

Q
QCONSOLE, QSERVER, QTTASK.

R
RAPAPP, RAV7WIN, RAV8WIN32ENG, RAVMON, RAVWIN8, REALMON, RMVTRJAN, RRGUARD, RSHELL, RTVSCN95, RULAUNCH.

S
SAFEWEB, SBSERV, SCAN32, SCANPM, SCRSCAN, SGSSFW32, SPHINX, SS3EDIT, SUPFTRL, SUPPORTER5, SWEEP95, SWNETSUP, SYMPROXYSVC.

T
TASKALERT, TAUMON, TAUSCAN, TBSCAN, TDS2-NT, THGUARD, TITANIN, TITANINXP, TRJSCAN, TROJAN, TROJANHUNTER, TROJANTRAP3, TUCONF, TWEAK-XP.

U
UMXAGENT, UMXLDRA.

V
V530WTBYB, VBCMSERV, VBCONS, VBWIN9X, VBWINNTW, VETTRAY, VIR-HELP, VNLAN300, VPFW30S, VPTR AY, VPTRAY, VSCAN40, VSCHED, VSECOMR, VSHWIN32, VSMAIN, VSSTAT.

W
WATCHDOG, WATCHER, WEBSCANX, WEBTRAP, WFINDV32, WGFE95, WIMMUN32, WINGATE, WINRECON, WINROUTE, WRADMIN, WRCTRL, WSBGATE.

X
XCOMMSVR, XPF202EN.

Z
ZATUTOR, ZAUINST, ZONALM2601!.

Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, lo que dejaría al ordenador vulnerable frente al ataque de otro tipo de malware.
Si el usuario intenta acceder a alguna de las siguientes herramientas del sistema operativo, BlackAngel.B impide su acceso cerrando las ventanas correspondientes:
- Administrador de Tareas.
- Panel de control.
- Editor del Registro.
- Utilidad de configuración del sistema.
- Restaurar sistema.
Cuando BlackAngel.B es ejecutado, se muestra el siguiente mensaje en pantalla:
Cuatro días después de haber infectado el ordenador, muestra una imagen de unos cartuchos de dinamita y una cuenta atrás. Cuando la cuenta llega a cero, apaga el ordenador.

Metodo de Infección

BlackAngel.B crea los siguientes archivos:

WAM.EXE en la subcarpeta CURSORS del directorio de Windows. Este archivo es una copia del gusano.
AUTOR.TXT en el directorio raíz de las unidades C: y A:, que contiene la dirección de correo electrónico del autor de BlackAngel.B.
LSTX.BAT en el directorio de sistema de Windows, que contiene la lista de procesos a finalizar.
SYSTEMWORK.BAT y WIN_NT.BAT en el directorio de sistema de Windows.

BlackAngel.B elimina varios archivos de Windows del directorio raíz de las unidades C: y A:, como por ejemplo:

AUTOEXEC.BAT
CONFIG.SYS
Después, crea copias de sí mismo utilizando los nombres de los archivos que ha borrado y añadiéndoles extensión EXE.

BlackAngel.B crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
axel = %windir%\cursors\wam.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, BlackAngel.B consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system
disabletaskmgr = 1
Mediante esta entrada, BlackAngel.B desactiva el Administrador de Tareas.
HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ day\ number
nday = %díainfección%
donde %díainfección% es el día en el que se ha producido la infección.
HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ ok\ ami
virus = infectado
Crea estas entradas como marca de infección para saber si el ordenador ha sido previamente afectado por BlackAngel.B.

BlackAngel.B elimina todos los elementos de las siguientes rutas del Registro de Windows, cuatro días después de haber infectado el ordenador:

HKEY_LOCAL_MACHINE\ software\ microsoft
HKEY_LOCAL_MACHINE\ hardware
HKEY_CURRENT_USER\ software\ microsoft
HKEY_CURRENT_USER\ hardware
Como resultado de estas acciones, el ordenador no podrá ser arrancado.

Método de Propagación

BlackAngel.B se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:

El usuario recibe uno de los siguientes mensajes instantáneos, que contienen un enlace:
- jaja look a that video http://www.galeon.<bloqueado>verti2
- mira este video http://www.galeon.<bloqueado>verti 2 jaja
Si se pulsa dicho enlace, se descarga el archivo FANTASMA.ZIP, que contiene a BlackAngel.B, con el icono de Windows Media Player:

Este archivo tiene doble extensión para así engañar a los usuarios que tengan activada la opción Ocultar las extensiones de archivos para tipos de archivos reconocidos.
Cuando es ejecutado, BlackAngel.B bloquea una ventana de MSN Messenger y evita que el usuario pueda acceder a ella.
Desde esta ventana, envía uno de los mensajes mencionados previamente a todos los usuarios que se encuentren conectados en ese momento.

Otros Detalles

BlackAngel.B está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 385024 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info