Nombre: Win32.Bagle.V@mm
Alias: Win32.Beagle.V@mm
Tipo: Ejecutable Backdoor Gusano Mensajero Masivo
Tamaño: 8208 bytes (empaquetado con FSG)
Descubierto: 29.03.2004
Detectado: 29.03.2004
Propagación: Alta
Peligrosidad: Media
In The Wild: Sí

Síntomas:
La presencia de las siguientes claves del registro:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysinfo.exe" = "%system%\sysinfo.exe"

[HKCU\SOFTWARE\Windows2005]

La presencia del siguiente fichero:
"sysinfo.exe" en la carpeta %system%

Descripción técnica:
Después de ejecutarse por primera vez, el virus verifica la fecha del ordenador y sale del sistema si la fecha es del 2005 o posterior. Luego se copia en la carpeta %system%, con el nombre "sysinfo.exe" y se registra a sí mismo para ser ejecutado con cada inicio de Windows. Si el programa es ejecutado con la línea de comando "-upd", el gusano intenta ejecutar el programa "dreder.exe" para actualizarse.

Luego, intenta notificar su presencia, conectándose al sitio http://www.werde.de/5.php con un nombre de usuario específico y una contraseña.

El gusano busca direcciones de correo en los ficheros con las extensiones:
'.wab', '.txt', '.msg', '.htm', '.shtm', '.stm', '.xml', '.dbx', '.mbx', '.mdx', '.eml', '.nch', '.mmf', '.ods', '.cfg', '.asp', '.php', '.pl', '.wsh', '.adb', '.tbb', '.sht', '.xls', '.oft', '.uin', '.cgi', '.mht', '.dhtm', '.jsp', intentando encontrar direcciones de correo válidas.

Después se envía a todas las direcciones encontradas, salvo aquéllas cuyos dominios incluyen "avp." o "microsoft"; en todos los mensajes de correo, el nombre del archivo adjunto es "game.exe".

Desinfección:
Manual:
Finalice el proceso viral, elimine el fichero infectado y luego repare las claves del registro afectadas.