Inicio de zonavirus, antivirus
zonavirus / noticias / descubrimiento en los bagles: ademas de todo lo ya conocido, esconde fichero infectado en los zip que encuentra

Descubrimiento en los Bagles: Ademas de todo lo ya conocido, esconde fichero infectado en los ZIP que encuentra

msc hotline sat
Monday, November 9, 2009
Sorpresa en las tecnicas usadas por el Bagle, ademas de crear Rootkit, modificar clave SAFEBOOT, corromper los antivirus, y generar los ficheros propios y acompañantes, vemos que en las ultimas versiones prepara propagar via eMule y esconde fichero infectado en los ZIP





No paramos de recibir diariamente nuevas muestras de variantes del BAGLE , FLEC006.EXE, HLDRRR.EXE, HIDR.EXE, WINUPGRO.EXE, que acostumbran a ser mas de lo mismo, generan el RootKit SROSA.SYS, M_HOOK.SYS, etc , con las diferencias propias entre ellos para no ser detectados por los antivirus, y otros ficheros acompañantes, asi como otros con numeros aleatorios pero lo nuevo descubierto hoy, es que esconde un fichero infectado con él mismo, dentro de los ficheros ZIP existentes que encuentra en el disco duro, y los copia en una carpeta de nombre crack, keygen o patch, copiandose como ejecutable con uno de estos nombres en dicha carpeta, que luego empaqueta en el ZIP junto con los demas componentes del ZIP



Así, aun despues de ser eliminado "totalmente", incluido su RootKit,, aun queda vivo, aunque aletargado, dentro de cada ZIP, y cuando se desempaqueten, volverá a estar accesible e infeccioso, lo cual conviene saber para evitar la regeneracion a través del desempaquetamiento de los ZIP en cuestion.



Podríamos desempaquetar todos los ZIP y eliminar los ficheros en los que detectaramos dicho Bagle, pero ello implicaría volverlos a empaquetar, y ello, de momento, lo dejamos para el usuario, que desempaquete los ZIP, esamine lo desempaquetado con el ELIBAGLA y si, tras eliminar lo que detecte, aun existen ficheros dentro de las carpetas KEYGEN, PATCH Y CRACK, que nos envie los ficheros para analizar, ya que posiblemente sean Bagles no controlados.



Conviene decir que es de los troyanos que mas estamos recibiendo no controlados por los antivirus, y que el ELIBAGLA está siendo la utilidad mas descargada de esta web, en concepto de evaluacion, detras del ELISTARA.



QUIEN TENGA O HAYA TENIDO BAGLE, CUIDADO CON LOS ZIP, PUEDEN TENER BAGLE ENCERRADO



saludos



ms, 9-11-2009











DESCARGAS DE EVALUACION DE LAS UTILIDADES MENCIONADAS:





ELISTARA: Descargas de evaluacion, desde esta web, al 9-11-2009 (5.754.736)

http://www.zonavirus.com/descargas/elistara.asp



Y le sigue el ELIBAGLA con 930.679 descargas de evaluacion al 9-11-2009.



ANEXO:



Ejemplo de muestra detectada por Elibagla y solo controlada actualmentye por 8 (de los cuales 3 son de McAfee) de 40 antivirus del VirusTotal (20 %):



File 87828.EXE.Muestra_EliBagle_v13.11 received on 2009.11.09 17:57:19 (UTC)



Result: 8/40 (20%)



Antivirus Version Last Update Result

a-squared 4.5.0.41 2009.11.09 -

AhnLab-V3 5.0.0.2 2009.11.06 -

AntiVir 7.9.1.61 2009.11.09 -

Antiy-AVL 2.0.3.7 2009.11.09 -

Authentium 5.2.0.5 2009.11.09 W32/Damaged_File.gen!Eldorado

Avast 4.8.1351.0 2009.11.09 -

AVG 8.5.0.423 2009.11.09 -

BitDefender 7.2 2009.11.09 -

CAT-QuickHeal 10.00 2009.11.09 (Suspicious) - DNAScan

ClamAV 0.94.1 2009.11.09 -

Comodo 2898 2009.11.09 -

DrWeb 5.0.0.12182 2009.11.09 -

eTrust-Vet 35.1.7111 2009.11.09 -

F-Prot 4.5.1.85 2009.11.09 W32/Damaged_File.gen!Eldorado

F-Secure 9.0.15370.0 2009.11.09 Suspicious:W32/Malware!Gemini

Fortinet 3.120.0.0 2009.11.09 -

GData 19 2009.11.09 -

Ikarus T3.1.1.74.0 2009.11.09 -

Jiangmin 11.0.800 2009.11.09 -

K7AntiVirus 7.10.891 2009.11.07 -

Kaspersky 7.0.0.125 2009.11.09 -

McAfee 5796 2009.11.08 potentially unwanted program Corrupt-07!F1474A03730B

McAfee+Artemis 5796 2009.11.08 potentially unwanted program Corrupt-07!F1474A03730B

McAfee-GW-Edition 6.8.5 2009.11.09 Heuristic.LooksLike.Win32.Worm.B

Microsoft 1.5202 2009.11.09 -

NOD32 4588 2009.11.09 -

Norman 6.03.02 2009.11.09 -

nProtect 2009.1.8.0 2009.11.09 -

Panda 10.0.2.2 2009.11.09 -

PCTools 7.0.3.5 2009.11.09 -

Prevx 3.0 2009.11.09 -

Rising 22.21.00.08 2009.11.09 Packer.Win32.UnkPacker.a

Sophos 4.47.0 2009.11.09 -

Sunbelt 3.2.1858.2 2009.11.08 -

Symantec 1.4.4.12 2009.11.09 -

TheHacker 6.5.0.2.063 2009.11.06 -

TrendMicro 9.0.0.1003 2009.11.09 -

VBA32 3.12.10.11 2009.11.09 -

ViRobot 2009.11.9.2027 2009.11.09 -

VirusBuster 4.6.5.0 2009.11.09 -

Additional information

File size: 112047 bytes

MD5...: f1474a03730bd3bcec15a2fb98e6783d

SHA1..: 6b7b1448ad041c0fb67bcf2bedb63203585f4650

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / descubrimiento en los bagles: ademas de todo lo ya conocido, esconde fichero infectado en los zip que encuentra
© 1998-2026 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto