W32/Bagle.GM

Descripción:

W32/Bagle.GM, troyano que puede copiarse con uno de los siguientes nombre:

Cuando el gusano se ejecuta muestra un mensaje de error:

Title: "Error"
Message: "Incorrect file version"

El troyano crea la siguiente llave de registro como una marca de la infección:

HKEY_CURRENT_USER\Software\FirstRRRun

Luego el troyano busca dentro de la siguiente llave de registro programas de seguridad informática que sean cargados al iniciar Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Si encuentra uno de los programas de la lista siguiente dentro de la sub llave anterior los reemplaza con una copia de si mismo para ejecutarse al siguiente reinicio:

Luego crea los siguientes archivos:

Este proceso crea la siguiente llave de registro para registrar un servicio enlazandose a este componente rootkit:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\srosa

Esto registra el componente rootkit como el siguiente servicio:

Diplayname: "Megadrv3"
ImagePath: "%system%\drivers\srosa.sys"
Start: "1"
Type: "1"

El componente rootkit oculta procesos, archivos y llaves de registro relacionados con este proceso para engancharse a las siguientes funciones de sistema:

Luego el troyano crea la siguiente entrada de registro para ejecutarse en cada inicio de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" = "%System%\drivers\hidr.exe"

Además trata de deshabilitar alguno de los siguientes servicios, de los cuales la mayoría están relacionados con productos de seguridad informática:

Finalmente trata de descargar componentes adicionales de las siguientes direcciones web:

Los archivos descargados son almacenados en la siguiente carpeta:

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú