Virus | Spyware
Beagle.AX
Con estos Web site usted puede quitar Beagle.AX:
eliminar Beagle.AX virus
W32.Beagle.AX@mm es un gusano masa-que envi'a que también se separa a través de redes archivo-que comparten. El gusano abrirá un backdoor en el puerto 2002 del TCP.También Conocido Como: Bagle.AW [ F-Seguro ], I-Worm.Bagle.aw [ Kaspersky ], WORM_BAGLE.AX [ Tendencia Micro ]
Tipo: Gusano
Longitud De la Infección: 18.254 octetos
Los Sistemas Afectaron: Windows 2000, Windows 95, Windows 98, Windows Yo, Windows NT, Servidor 2003, Windows.xp De Windows
Definiciones Del Virus (Updater Inteligente) *
De noviembre el 16 de 2004
** De las Definiciones Del Virus (™LiveUpdate )
De noviembre el 17 de 2004
*
Las definiciones inteligentes de Updater se lanzan diariamente, pero requieren transferencia directa y la instalación manuales.
Chasque aquí para descargar manualmente.
**
Las definiciones del virus de LiveUpdate se lanzan generalmente cada miércoles.
Chasque aquí para las instrucciones en usar LiveUpdate.
Salvaje
Número de infecciones: 0 - 49
Número de sitios: 0 - 2
Distribución geográfica: Bajo
Contención de la amenaza: Fácil
Retiro: Moderado
Métrica De la Amenaza
Salvaje:
Bajo
Daños:
Medio
Distribución:
Alto
Daños
Disparador De la Carga útil: n/a
Carga útil: Permite el acceso alejado desautorizado a un anfitrión comprometido.
El e-enviar de la escala grande: Envía el email a las direcciones recogidas de una computadora infectada.
Archivos de las cancelaciones: n/a
Modifica archivos: n/a
Degrada funcionamiento: el Masa-enviar puede estorbar los servidores del correo o degradar funcionamiento de la red.
Causa inestabilidad del sistema: n/a
Lanza el Info confidencial: n/a
Compromete ajustes de la seguridad: Termina los procesos asociados a varios programas seguridad-relacionados.
Distribución
Tema del email: Varía
Nombre del accesorio: Varía con un hta., vbs, exe., SCR, COM, completa, extensión del cierre relámpago de.or.
Tamaño del accesorio: Varía.
Grupo fecha/hora del accesorio: n/a
Puertos: Tcp 80, 2002
Impulsiones compartidas: n/a
Blanco de la infección: n/a
Cuando se ejecuta Beagle.AX@mm, realiza las acciones siguientes:
Exhibe el mensaje de error falso siguiente. El chascar MUY BIEN dará lugar a más mensajes que aparecen, como:
¡Error!
No puede encontrar un espectador asociado al archivo
Crea los siete mutexes siguientes:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
' D'r'o'p'p'e'd'S'k'y'N'e't '
_ - oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+ -|XxKOo - _
[ SkyNet.cz]SystemsMutex
AdmSkynetJklS003
--____ de U<<<< del ____--->>>>
_ - oO]xX|- S-k-y-N-e-t-|Xx[Oo - _
Algunos de éstos evitarán que las variantes de Netsky sean lanzadas.
Suprime los valores siguientes:
"Mi Sistema de pesos americano"
"Cliente De los Laboratorios De la Zona Ex"
"9XHtProtect"
"Antivirus"
"Servicio Especial Del Cortafuego"
"servicio"
"Sistema de pesos americano Minúsculo"
"ICQNet"
"HtProtect"
"NetDy"
"Jammer2nd"
"FirewallSvr"
"MsInfo"
"SysMonXP"
"EasyAV"
"PandaAVEngine"
"Norton Antivirus Sistema de pesos americano"
"KasperskyAVEng"
"SkynetsRevenge"
"Red de ICQ"
de las llaves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para evitar que el otro malware sea lanzado cuando Windows comienza.
Crea los archivos siguientes:
%System%\sysinit.exe
%System%\sysinit.exeopen
%System%\sysinit.exeopenopen
%System%\sysinit.exeopenopenopen
%System%\sysinit.exeopenopenopenopen
Agrega el valor:
"Syskey" = "%System%\sysinit.exe"
a la llave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Mayo agrega las llaves siguientes del registro:
HKEY_CURRENT_USER\Software\Microsoft \DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
Las tentativas de terminar los procesos siguientes se asociaron a usos del antivirus y de la seguridad:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
sys_xp.exe
sysxp.exe
UPDATE.EXE
winxp.exe
kavsvc.exe
Abre un backdoor en el puerto 2002 del TCP permitiendo que la máquina comprometida sea utilizada como relais del email.
Envía un HTTP CONSIGUEN la petición vía el puerto 80 al dominio, webnomey.net del TCP, donde procura entrar en contacto con una escritura del php.
Tentativas de descargar un archivo del dominio sash.cc y de ahorrarlo como 1.exe. Este archivo entonces se ejecuta.
Busca el disco duro para las carpetas que contienen la secuencia "shar" y se copia a ellas con uno de los nombres siguientes:
Grieta De Microsoft Office 2003, Working!.exe
Microsoft Windows XP, grieta de WinXP, Keygen.exe de trabajo
Grieta de trabajo de Microsoft Office XP, Keygen.exe
El porno, sexo, oral, anal se refresca, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Pics arhive, xxx.exe del porno
Windows Sourcecode update.doc.exe
A continuación Nero 7.exe
Fonolocalizador de bocinas grandes Leak.exe Beta De Windown
Ópera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
Favorable Keygen Grieta Update.exe De WinAmp 5
Adobe Photoshop 9 full.exe
Revolución Subtitles.exe Inglés De la Matriz 3
ACDSee 9.exe
Búsquedas para las direcciones del email en archivos con las extensiones siguientes:
- wab
- txt
- msg
- htm
- shtm
- stm
- xml
- dbx
- mbx
- mdx
- eml
- nch
- mmf
- ods
- cfg
- asp
- php
- pl
- wsh
- adb
- tbb
- sht
- xls
- oft
- uin
- cgi
- mht
- dhtm
- jsp
El email puede tener las características siguientes:
De:
< spoofed >
Tema: (uno del siguiente)
Re: Contestación de los msg
Re: Hola
Re: ¡Yahoo!
Re: ¡Gracias!
Re: Gracias:)
RE: Mensaje del texto
Re: Documento
Mensaje entrante
Re: Mensaje Entrante
RE: Msg Entrantes
RE: El Mensaje Notifica
Notificación
Cambios.
Actualización
Mensaje Del Fax
Mensaje protegido
RE: Mensaje protegido
El foro notifica
Cambios del sitio
Re: Hi
Documento cifrado
Cuerpo de mensaje: (uno del siguiente)
Lea la fijación.
Se une su archivo.
Más Info está en la fijación
Vea la fijación.
Por favor, tenga una mirada en el archivo unido.
Se une su documento.
Por favor, lea el documento.
La fijación dice todo.
El archivo unido dice todo.
Compruebe el archivo unido para saber si hay detalles.
Compruebe el archivo unido.
Preste la atención en la fijación.
Vea el archivo unido para los detalles.
El mensaje está en la fijación
Aquí está el archivo.
Seguido por uno de los textos siguientes si el accesorio es un archivo de cierre relámpago:
Por razones de la seguridad el archivo unido es contraseña protegida.
La contraseña es [ archivo de la imagen que contiene contraseña ]
Para los propósitos de la seguridad el archivo unido es contraseña protegida.
Contraseña - -- [ archivo de la imagen que contiene contraseña ]<
Nota: Utilice la contraseña [ archivo de la imagen que contiene contraseña ] para abrir el archivo.
El archivo unido se protege con la contraseña por razones de la seguridad.
La contraseña es [ archivo de la imagen que contiene contraseña ]
Para leer la fijación usted tiene que utilizar la contraseña siguiente:
[ archivo de la imagen que contiene contraseña ]
Archivo del archivo password:[image que contiene contraseña ]
Contraseña - [ archivo de la imagen que contiene contraseña ]
Contraseña: [ archivo de la imagen que contiene contraseña ]
Accesorio: (uno del siguiente)
Información
Detalles
text_document
Actualizaciones
Readme
Documento
Info
Detalles
MoreInfo
Mensaje
seguido por una de las extensiones:
.hta
vbs
exe
scr
com
cpl
zip
Además, un archivo de la imagen que contiene la contraseña puede también ser unido.
Evita de enviar el email a las direcciones que contienen cualesquiera de las secuencias siguientes:
@hotmail
@msn
@Microsoft
clasificación @
f-secur
noticias
actualización
cualquier persona @
insectos @
contrato @
feste
oro-certs @
ayuda @
Info @
nadie @
noone @
kasp
admin
icrosoft
ayuda
ntivi
unix
DEB
linux
listserv
certific
sopho
@foo
@iana
libre-sistema de pesos americano
@messagelab
winzip
winrar
muestras
abuso
panda
cafee
Spam
PGP
@avp.
noreply
local
raíz @
postmaster @
La respuesta de la seguridad de Symantec anima a todos los usuarios y administradores que adhieran a la seguridad básica siguiente las "mejores prácticas":
Dé vuelta apagado y quite a los servicios innecesarios. Por defecto, muchos sistemas operativos instalan los servicios auxiliares que no son críticos, por ejemplo un ftp server, telnet, y un servidor del Web. Estos servicios son avenidas del ataque. Si se quitan, las amenazas mezcladas tienen menos avenidas del ataque y usted tiene pocos servicios a mantener a través de actualizaciones del remiendo.
Si una amenaza mezclada explota unos o más servicios de red, inhabilite, o bloquee el acceso a, esos servicios hasta que se aplica un remiendo.
Siempre mantenga sus niveles del remiendo actualizados, especialmente en las computadoras que reciben servicios públicos y son accesibles a través del cortafuego, tal como HTTP, ftp, correo, y servicios del DNS (por ejemplo, todas las computadoras windows-based deben tener el paquete actual del servicio instalado). Además, aplique por favor cualquier actualización de la seguridad que se mencione en este relato, en boletines confiados en de la seguridad, o en sitios del Web del vendedor.
Haga cumplir una política de la contraseña. Las contraseñas complejas hacen difícil de agrietar archivos de la contraseña en las computadoras comprometidas. Esto ayuda a prevenir o a limitar daño cuando se compromete una computadora.
Configure su servidor del email para bloquear o para quitar el email que contiene los accesorios del archivo que se utilizan comúnmente para separar virus, tales como archivos de los vbs, del bat, del exe, del pif y del scr.
Aísle las computadoras infectadas rápidamente para evitar más lejos el compromiso de su organización. Realice un análisis forense y restaure las computadoras usando medios confiados en.
Entrene a los empleados para no abrir los accesorios a menos que los estén contando con. También, no ejecute el software que se descarga del Internet a menos que se haya explorado para los virus. Simplemente visitar un sitio comprometido del Web puede causar la infección si ciertas vulnerabilidades del browser no se remiendan.
Las instrucciones siguientes pertenecen a todos los productos actuales y recientes del antivirus de Symantec, incluyendo las líneas de productos de Symantec AntiVirus y de Norton AntiVirus.
Inhabilite El Restore Del Sistema (Windows Me/XP).
Ponga al día las definiciones del virus.
Funcione una exploración completa del sistema y suprima todos los archivos detectados como W32.Beagle.AX@mm.
Suprima el valor que fue agregado al registro.
Para los detalles específicos en cada uno de estos pasos, lea las instrucciones siguientes.
1. Para inhabilitar el restore del sistema (Windows Me/XP)
Si usted está funcionando Windows yo o Windows.xp, recomendamos que usted da vuelta temporalmente apagado a restore del sistema. Windows Me/XP utiliza esta característica, que es permitida por el defecto, para restaurar los archivos en su computadora en caso de que se dañen. Si un virus, un gusano, o un Trojan infecta una computadora, el restore del sistema puede sostener el virus, el gusano, o el Trojan en la computadora.
Windows previene programas exteriores, incluyendo programas del antivirus, de restore de modificación del sistema. Por lo tanto, los programas del antivirus o las herramientas no pueden quitar amenazas en la carpeta del restore del sistema. Consecuentemente, el restore del sistema tiene el potencial de restaurar un archivo infectado en su computadora, incluso después usted haya limpiado los archivos infectados de el resto de localizaciones.
También, una exploración del virus puede detectar una amenaza en la carpeta del restore del sistema aunque usted ha quitado la amenaza.
Para las instrucciones en cómo dar vuelta apagado a restore del sistema, lea su documentación de Windows, o uno de los artículos siguientes:
"cómo inhabilitar o permitir Windows yo restore del sistema"
"cómo dar vuelta apagado o girar a restore del sistema de Windows.xp"
Nota: Cuando le acaban totalmente con el procedimiento de retiro y están satisfecho que la amenaza se ha quitado, vuelva a permitir el restore del sistema por después de las instrucciones en los documentos ya mencionados.
Para la información adicional, y un alternativa a inhabilitar Windows restore del sistema, ve el artículo de la base de conocimiento de Microsoft, las "herramientas de Antivirus no puede limpiar archivos infectados en _ la carpeta del restore," identificación del artículo: Q263455.
2. Para poner al día las definiciones del virus
La respuesta de la seguridad de Symantec prueba completamente todas las definiciones del virus para la garantía de calidad antes de que se fijen a nuestros servidores. Hay dos maneras de obtener las definiciones más recientes del virus:
LiveUpdate de funcionamiento, que es la manera más fácil de obtener definiciones del virus: Estas definiciones del virus se fijan a los servidores de LiveUpdate una vez que cada semana (generalmente el miércoles), a menos que haya un brote importante del virus. Para determinarse si las definiciones para esta amenaza están disponibles por LiveUpdate, refiera a las definiciones del virus (LiveUpdate).
Descargar las definiciones usando el Updater inteligente: Las definiciones inteligentes del virus de Updater se fijan diariamente. Usted debe descargar las definiciones del sitio del Web de la respuesta de la seguridad de Symantec e instalarlas manualmente. Para determinarse si las definiciones para esta amenaza están disponibles por el Updater inteligente, refiera a las definiciones del virus (Updater inteligente).
Las definiciones inteligentes del virus de Updater están disponibles: Leído "cómo poner al día la definición del virus archiva con el Updater inteligente" para las instrucciones detalladas.
3. Para explorar para y suprimir los archivos infectados
Comience su programa del antivirus de Symantec y cerciórese de que está configurado para explorar todos los archivos.
Para los productos de consumo de Norton AntiVirus: Lea el documento, "cómo configurar Norton AntiVirus para explorar todos los archivos."
Para los productos de la empresa de Symantec AntiVirus: Lea el documento, "cómo verificar que un producto corporativo del antivirus de Symantec está fijado para explorar todos los archivos."
Funcione una exploración completa del sistema.
Si algunos archivos se detectan según lo infectado con W32.Beagle.AX@mm, cancelación del tecleo.
Nota: Si su producto del antivirus de Symantec divulga que no puede suprimir un archivo infectado, Windows puede utilizar el archivo. Para fijar esto, funcione la exploración en modo seguro. Para las instrucciones, lea el documento, "cómo encender la computadora en modo seguro." Una vez que usted haya recomenzado en modo seguro, funcione la exploración otra vez.
(después de que se supriman los archivos, usted puede dejar la computadora en modo seguro y proceder con la sección 4. Cuando se hace eso, recomience la computadora en modo Normal.)
4. Para suprimir el valor del registro
Importante: Symantec recomienda fuertemente que usted sostiene el registro antes de realizar cualesquiera cambios a él. Los cambios incorrectos al registro pueden dar lugar a pérdida permanente de los datos o a archivos corrompidos. Modifique las llaves especificadas solamente. Lea el documento, "cómo hacer una reserva del registro de Windows," para las instrucciones.
Chasque El Comienzo > Funcionado.
Mecanografíe el regedit
Entonces chasque MUY BIEN.
Navegue a la llave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En el cristal derecho, suprima el valor:
"Syskey" = "%System%\sysinit.exe"
Navegue a las llaves siguientes si existen y las suprimen:
HKEY_CURRENT_USER\Software\Microsoft\DownloadManager
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager
Salga del redactor del registro.