Fácil eliminación de los ficheros infectados que el Bagle inserta en los ficheros ZIP existentes

Seguido a lo que decíamos en https://blog.satinfo.es/?p=2531

En el Examen por Exploración de un ordenador infectado con el Bagle, si se selecciona la casilla de MIRAR ZIP , se mira si los ficheros ZIP contienen ficheros Bagle conocidos, dado que las últimas variantes insertan en cada ZIP un “regalito” con un fichero infectado con el BAGLE, para que después de limpiar el ordenador, queden estos  ZIP con fichero infectado y asi reinfectar el ordenador en una próxima ocasión que se desempaqueten dichos ZIP

ejemplo:

EliBagle v13.53 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Febrero del 2010)
———————————————-
Lista de Acciones (por Exploración):
Explorando “C:\”
C:\Archivos de programa\Java\jre6\lib\deploy\FFJCEXT.ZIP -> crack/patch.exe -> Detectado Bagle dldr
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2009\RESCUECD.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr
C:\Archivos de programa\Nero\Nero8\Nero MediaHome\NEROMEDIAHOME.PLUGIN.XRTJS.SUDOKU.ZIP -> keygen/patch.exe -> Detectado Bagle dldr
C:\Archivos de programa\Samsung\Samsung PC Studio 3\USB Drivers\MCCI DRIVERS_VISTA.ZIP -> patch/patch.exe -> Detectado Bagle dldr
C:\Archivos de programa\Windows Media Player\NPDRMV2.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr
C:\Archivos de programa\Windows Media Player\NPDS.ZIP -> patch/patch.exe -> Detectado Bagle dldr
C:\Archivos de programa\WinZip\EXAMPLE.ZIP -> keygen/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP.8.454_10.08_22.11_7A8.DUMP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100124-RAINLENDAR2BACKUP.ZIP -> patch/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100125-RAINLENDAR2BACKUP.ZIP -> patch/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100126-RAINLENDAR2BACKUP.ZIP -> patch/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100127-RAINLENDAR2BACKUP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100128-RAINLENDAR2BACKUP.ZIP -> crack/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100129-RAINLENDAR2BACKUP.ZIP -> patch/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100130-RAINLENDAR2BACKUP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\.rainlendar2\backups\20100131-RAINLENDAR2BACKUP.ZIP -> crack/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\BALLOONS.ZIP -> patch/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\GSA-4167DL13(EW).ZIP -> keygen/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\TBEC5042.ZIP -> patch/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\TMPGENC-2.524.63.181-FREE.ZIP -> patch/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\UDVDCRTR132-TE.ZIP -> keygen/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\Adobe.Acrobat.Password.Recovery.Key.v5.1.Cracked-RECOiL\CRACK.ZIP -> crack/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\Adobe.Acrobat.Password.Recovery.Key.v5.1.Cracked-RECOiL\RCAAPR51.ZIP -> crack/crack.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\Celular\Ringtones\DISNEY COLLECT.ZIP -> crack/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\cloneCD\CRACK.ZIP -> patch/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\cloneCD\TBEC5042.ZIP -> patch/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Archivos descargados\DVDXCopy Platinum 4.0.3.8\PLATINUM4038CRACK.ZIP -> keygen/keygen.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Mis archivos recibidos\CONTACTSSIDEBAR-0.5+-ESES.ZIP -> keygen/patch.exe -> Detectado Bagle dldr
C:\Documents and Settings\Usuario\Mis documentos\Mis archivos recibidos\GUAPDF21.ZIP -> patch/crack.exe -> Detectado Bagle dldr

La eliminacion de dichos ficheros es muy fácil, simplemente doble click sobre el ZIP en cuestion, seleccionar el fichero que nos indique el infosat.txt que está infectado dentro del ZIP, y darle a ELIMINAR, con lo que el ZIP indicado quedará sin dicho fichero.

Todos los usuarios que hayan tenido un Bagle en los últimos meses, conviene que se descarguen el últiumo ELIBAGLA (ahora hay el 13.53) y procedan como se indica…

saludos

ms, 3-2-2010