Grand Master Hack

Virus

ESTOS SON MAS PODEROSOS

nombre: Win32/Sober.R

aliases: Sober.R, BACKDOOR.Trojan, Email-Worm.Win32.VB.ba, I-Worm.Sober.U, Trojan-PSW.Win32.VB.gr, W32.Sober.Q, W32.Sober.Q@mm, W32/Sober.R@mm, W32/Sober.r@MM, W32/Sober.Y.worm, W32/Sober-O, Win32.Sober.P, Win32.Sober.S@mm, Win32/Sober, Win32/Sober.R, Worm.Sober.R, Worm/Sober.Q, WORM_SOBER.AC

tipo: Gusano de Internet

fecha: 05/10/2005

tamaño: 113,551 Bytes

destructivo: No

origen: Desconocido

nombre asignado por: ESET

INFORMACION

Gusano que se propaga por correo electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado. El mensaje puede estar en inglés o alemán. El envío masivo de mensajes, afecta notoriamente el rendimiento de la conexión a Internet del usuario infectado.

> CARACTERISTICAS

Esta variante fue detectada por primera vez el 5 de octubre de 2005, y NOD32 la detecta desde el primer momento como una variante modificada del Win32/Sober sin necesidad de actualización.

Cuando el gusano se ejecuta, se muestra una falsa ventana de error con el siguiente texto:

Error

Error in packed file!

CRC Header must be $7ff8

[ OK ]

Crea la carpeta "ConnectionStatus" y los siguientes archivos en el sistema:

c:windowsConnectionStatusservices.exe

c:windowsConnectionStatusnetslot.nst

c:windowsConnectionStatussocket.dli

c:windowssystem32bbvmwxxf.hml

c:windowssystem32gdfjgthv.cvq

c:windowssystem32langeinf.lin

c:windowssystem32nonrunso.ber

c:windowssystem32rubezahl.rub

c:windowssystem32seppelmx.smx

De acuerdo a la versión del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").

Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCUSOFTWAREMicrosoft

WindowsCurrentVersionRun

_WinINet = "c:windowsConnectionStatusservices.exe"

HKLMSOFTWAREMicrosoft

WindowsCurrentVersionRun

WinINet = "c:windowsConnectionStatusservices.exe"

Esta versión mantiene varios procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc

.abd

.abx

.adb

.ade

.adp

.adr

.asp

.bak

.bas

.cfg

.cgi

.cls

.cms

.csv

.ctl

.dbx

.dhtm

.doc

.dsp

.dsw

.eml

.fdb

.frm

.hlp

.imb

.imh

.imm

.inbox

.ini

.jsp

.ldb

.ldif

.log

.mbx

.mda

.mdb

.mde

.mdw

.mdx

.mht

.mmf

.msg

.nab

.nch

.nfo

.nsf

.nws

.ods

.oft

.php

.phtm

.pl

.pmr

.pp

.ppt

.pst

.rtf

.shtml

.slk

.sln

.stm

.tbb

.txt

.uin

.vap

.vbs

.vcf

.wab

.wsh

.xhtml

.xls

.xml

Las direcciones seleccionados, son las que tengan los siguientes dominios:

.at

.com

.ch

.de

.net

Evita aquellas direcciones que contengan las siguientes cadenas en su nombre:

aero

com

coop

edu

gov

info

int

museum

name

net

org

pro

El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía sus mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at

.ch

.de

.li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Los mensajes que utiliza para enviarse tienen las siguientes características:

Mensajes en inglés:

De: [remitente falso]

Asunto:

Your new Password

Texto del mensaje:

Your password was successfully changed!

Please see the attached file for detailed information

Datos adjuntos:

pword_change.zip

Mensaje en alemán:

De: [remitente falso]

Asunto:

Fwd: Klassentreffen

Texto del mensaje:

hi,

ich hoffe jetzt mal das ich endlich die richtige person

erwischt habe! ich habe jedenfalls mal unser klassenfoto

von damals mit angehngt. wenn du dich dort

wiedererkennst, dann schreibe unbedingt zurck!! wenn

ich aber wieder mal die falsche person erwischt habe,

dann sorry fr die belstigung

liebe gr

[nombre]

Datos adjuntos:

KlassenFoto.zip

En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre:

PW_Klass.Pic.packed-bitmap.exe

El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto.

Este gusano está programado en Visual Basic 6.0.

> INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", las entradas "_WinINet" y "_WinINet", en las siguientes claves del registro:

HKCUSoftwareMicrosoftWindows

CurrentVersionRun

HKLMSoftwareMicrosoftWindows

CurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

------------------------------------------------------------------------------------------------------------------------------

nombre: Win32/Spy.Zbot.CU

aliases: Trojan-Spy.Win32.Zbot.idk, Trojan-Spy:W32/Zbot.AAR, Mal/EncPk-CZ, Win32/Spy.Zbot.CU, TR/Spy.ZBot.idk

tipo: Troyano

fecha: 27/12/2008

gravedad general:

distribución:

daño:

destructivo: No

origen: Desconocido

nombre asignado por: ESET

> INFORMACION

Troyano que crea una puerta trasera en el equipo infectado.

> CARACTERISTICAS

Cuando el troyano se ejecuta crea el siguiente archivo:

c:windowssystem32twext.exe

Modifica la siguiente clave del registro para ejecutarse en cada reinicio del sistema:

HKLMsoftwaremicrosoftwindows nt

currentversionwinlogon

"userinit"="%SYSDIR%userinit.exe,%SYSDIR%twext.exe,"

Se conecta a una dirección de internet y descarga el archivo "4.tmp" en la carpeta temporal de Windows. Luego dicho archivo es ejecutado, este abre una puerta trasera y se comunica a un sitio enviando información.

> INSTRUCCIONES PARA ELIMINARLO

1. Reinicie en Modo a prueba de fallos.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindows NT

CurrentVersionWinlogon

6. Modifique bajo la columna "Nombre", la entrada "Shell", para que solo contenga lo siguiente:

"userinit"="%SYSDIR%userinit.exe,"

7. Cierre el editor del Registro del sistema.

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

AQUI HAY OTROS MENOS PELIGROSOS PERO DESTRUCTIVOS

Win32/Sndog.A

Gusano que se propaga por correo electrónico y redes P2P. Utiliza un mensaje en español.

> BAT/Firewall.A

Termina el proceso de ciertos antivirus, cortafuegos y otros programas residentes en memoria. Borra cierto tipo de archivos.

> MSIL/Somali.A

Gusano y caballo de Troya programado en Microsoft Intermediate Language (MSIL) de .NET, que afecta a equipos con Windows PC con .NET Framework instalado. Eso también incluye Windows Mobile (dispositivos móviles como Pocket PC (computadoras de bolsillo), agendas digitales personales (PDA), teléfonos móviles, etc.)

> VBS/SSIWG2

Infecta la plantilla normal.dot de Word 2000, y se envía masivamente por correo electrónico.

> Win32.Adware.Hotbar

Adware que muestra ventanas emergentes de publicidad, agregan enlaces y fotos a los correos salientes del usuario.

> Win32.Tiniresu.A

Virus que infecta el archivo "Userinit.exe". Descarga y ejecuta archivos de un sitio remoto.

> Win32/Acculoader.A

El troyano necesita la intervención del usuario para instalar un ActiveX. Descarga e instala en la maquina infectada un discador. Se propaga utilizando redes P2P, correo electrónico y canales IRC entre otros. Está escrito en lenguaje Ensamblador.

> Win32/Acebot.A

Recibe comandos a través del IRC y deshabilita programas del tipo cortafuegos.

> Win32/AcidShuz

Gusano de Internet que se propaga enviándose a si mismo como adjunto en mensajes de correo electrónico.

> Win32/AdClicker.NAC

Troyano residente en memoria, intenta descargar un archivo desde un sitio web.

> Win32/Adex.A

Troyano que descarga y ejecuta un archivo con contenido malicioso desde Internet.

> Win32/Adex.B

Troyano que descarga y ejecuta un archivo con contenido malicioso desde Internet.

> Win32/Adex.C

Troyano que descarga y ejecuta un archivo con contenido malicioso desde Internet.

> Win32/Adware.180Solutions

Adware que monitorea constantemente el contenido de la ventana del navegador de Internet, y abre páginas web con publicidad de sus afiliados, cuando ciertas palabras son usadas en buscadores o sitios de compra.

> Win32/Adware.Adlogix

Adware agregado por algunos sitios, para controlar la visualización de su publicidad. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación.

> Win32/Adware.Alexa

Aplicación del tipo Adware para la visualización de publicidad, muestra avisos comerciales en múltiples ventanas emergentes (pop-ups), cuando se utiliza el Internet Explorer.

> Win32/Adware.BargainBuddy

Aplicación del tipo adware, muestra avisos comerciales en múltiples ventanas emergentes cuando se utiliza el Internet Explorer.

> Win32/Adware.BDSearch

Malware que muestra un icono con una especie de garra azul es mostrado en la barra de herramientas del Internet Explorer

> Win32/Adware.Boran

Adware que muestra en pantalla una ventana de publicidad. Tambien redirige el navegador hacia sitios especificos.

> Win32/Adware.CDN

Se trata de un software que muestra publicidad en ventanas emergentes, o publicidad no relacionada con el producto.

> Win32/Adware.Comet

Adware que se instala y cambia los punteros del ratón por otros diferentes, dependiendo del sitio Web que el usuario visite.

> Win32/Adware.DM

Aplicación que descarga e instala otro adware que a su vez instala una barra de descargas.

> Win32/Adware.E2Give.A

Adware que puede llegar al sistema al ser descargado por otros troyanos o al visitar algunos sitios maliciosos. También puede instalarse a partir de un objeto ActiveX, desde una página Web.

> Win32/Adware.Ezula

Troyano que descarga y ejecuta otros malwares en el equipo infectado, sin el conocimiento del usuario.

> Win32/Adware.KeenValue

Adware agregado por algunos sitios, para controlar la visualización de su publicidad. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación.

> Win32/Adware.Look2Me

Spyware agregado por otros programas, que suelen instalarlo sin avisar de ello al usuario. El parásito monitorea los sitios web que el usuario visita y envía el registro de esta actividad al servidor del fabricante del software que lo instala.

> Win32/Adware.Maxifiles

Aplicación del tipo Adware que muestra avisos comerciales en múltiples ventanas emergentes.

> Win32/Adware.MediaMotor

Adware que despliega anuncios publicitarios. Modifica la configuración de seguridad de la zona de Sitios de confianza del Internet Explorer.

> Win32/Adware.MediaTickets.downloader

Adware que despliega anuncios publicitarios y ventanas emergentes, modifica la configuración de seguridad de la zona de Sitios de confianza del Internet Explorer.

> Win32/Adware.Mycentria

Adware que muestra avisos de publicidad en el equipo infectado.

> Win32/Adware.NetPumper

NetPumper es un gestor de descarga de archivos, que cuando se ejecuta, instala una serie de componentes (lop.com, Save!, WhenU Toolbar, etc.), que ocasionalmente muestran ventanas de publicidad.

> Win32/Adware.P2PNet

Adware que abre puertos en el equipo infectado. Se presenta como un programa del tipo P2P.

> Win32/Adware.SaveNow

Adware que muestra ventanas emergentes de publicidad, también descarga archivos de Internet.

> Win32/Adware.Softomate

Adware que se instala como una barra de herramientas del Internet Explorer. Modifica la pagina de inicio del navegador dirigiendolo hacia el sitio "www . anquiro . com"

> Win32/Adware.SpySheriff

Troyano que posee funcionalidades para acceder a Internet y comunicarse con un servidor remoto HTTP.

> Win32/Adware.SpywareQuake

Anti-spyware que utiliza alertas falsas para engañar al usuario.

> Win32/Adware.SystemDoctor

Aplicación potencialmente indeseable, ya que reporta al usuario una serie de amenazas exageradas, muchas de ellas inexistentes, que solo pueden ser "limpiadas" si se adquiere la versión comercial.

> Win32/Adware.Toolbar.SysWebTelecom.A

Utilidad que permite a los webmaster obtener ganancias por colocarlo en sus páginas. Un usuario que navegue por sitios que contengan dichos enlaces, descargaran y ejecutaran en su equipo un dialer que puede desconectar su computadora de su proveedor habitual de Internet y conectarla utilizando un discador propio a números internacionales.

> Win32/Adware.UltimateDefender

Software que pretende examinar y detectar código malicioso en el equipo en que se instala, muestra falsas advertencias sobre infecciones inexistentes.

> Win32/Adware.UniGrayAntivirus

Troyano que se instala a través de otro tipo de software malicioso. Intenta engañaral usuario para que descargue aplicaciones engañosas Unigray.

> Win32/Adware.WinAd

Aplicación del tipo adware para la visualización de publicidad. La aplicación muestra avisos comerciales en múltiples ventanas emergentes (pop-ups), cuando se utiliza el Internet Explorer.

> Win32/Adware.WinFixer

Adware que muestra falsos mensajes de infección, engaña al usuario para que compre una aplicación de limpieza del virus.

> Win32/Afcore.AJ

Troyano que se presenta como un archivo .DLL. Puede ser descargado de sitios maliciosos, o enviado otro malware. Debe ser ejecutado por otro programa ya que el mismo no puede ejecutarse.

> Win32/Afgan.A

Virus que infecta archivos .EXE, también descarga de internet otros malwares.

> Win32/AGbot.B

Troyano que abre una puerta trasera en los equipos infectados, permitiendo a un intruso tomar el control total del sistema.

> Win32/Agent.ABS

Virus que infecta archivos ejecutables PE, también accede a Internet para comunicarse con un servidor web vía HTTP para enviar información del equipo infectado.

> Win32/Agent.AC

Componente DLL que es instalado por otros malwares cuando el usuario visita determinados sitios. El archivo está comprimido con una versión modificada de la herramienta UPX.

> Win32/Agent.AEV

Troyano que utiliza el equipo infectado para realizar periódicas consultas sobre diversos dominios de Internet, a los efectos de detectar aquellos que han expirado y no han sido registrados nuevamente por sus antiguos propietarios.

> Win32/Agent.AHP

Detección genérica para virus que infecta archivos .EXE e instala un rootkit.

> Win32/Agent.ANJ

Troyano que monitorea cuando el usuario se conecta, a ciertos servidores relacionados con juegos en línea.

> Win32/Agent.AW

Troyano que permite a un atacante externo controlar el equipo infectado.

> Win32/Agent.BA

Troyano que se propaga dentro del instalador de algunos programas.

> Win32/Agent.BQ

Troyano que descarga y ejecuta archivos de Internet. Abre ventanas del navegador con publicidad.

> Win32/Agent.CE

Troyano que se propaga en forma de spam, en un mensaje con el texto "click here to remove" (hacer clic aquí para quitarse).

> Win32/Agent.CS

Troyano residente en memoria, es agregado por algunos sitios, o descargados por malwares. También es capaz de robar contraseñas almacenadas en el equipo infectado.

> Win32/Agent.CW

Troyano que puede recibir comandos vía IRC.

> Win32/Agent.df

Troyano que descarga archivos de internet sin que el usuario tenga conocimiento de ello. También muestra publicidad en el equipo infectado.

> Win32/Agent.EC

Troyano de puerta trasera, un atacante externo puede descargar y ejecutar archivos en el equipo infectado.

> Win32/Agent.EM

Troyano agregado por algunos sitios, que cambia la configuración del Internet Explorer, para que su página de búsqueda, y otras asignadas por defecto, apunten a direcciones web relacionadas con diferentes programas antispywares.

> Win32/Agent.FY

Troyano que roba información del equipo infectado y la registra en un sitio pornográfico.

> Win32/Agent.GO

Troyano que intenta copiar y ejecutar el archivo "svchsot.exe" en la carpeta del sistema.

> Win32/Agent.HY

Troyano que se conecta a distintos servidores para envíar y spam. También puede descargar archivos de Internet.

> Win32/Agent.KIR

Troyano que se conecta a distintos servidores para envíar y spam. También puede descargar archivos de Internet.

> Win32/Agent.MF

Troyano que crea un servidor proxy en el equipo infectado.

> Win32/Agent.N

Gusano capaz de propagarse a través del proxy creado por el gusano Mydoom.

> Win32/Agent.NBE

Troyano capaz de instalarse en el equipo cuando el usuario visita una página web maliciosa.

> Win32/Agent.NCH

Troyano capaz de robar información de los equipos infectados y enviarlos a un sitio predeterminado de Internet.

> Win32/Agent.NDC

Gusano que se propaga por correo electrónico. Utiliza el exploit WMF para su ejecución.

> Win32/Agent.NDL

Troyano con capacidad para conectarse vía HTTP a un servidor remoto.

> Win32/Agent.NEE

Troyano capaz de obtener información del usuario y del equipo infectado.

> Win32/Agent.NEQ

Troyano capaz de capturar información relacionada con servicios de acceso telefónico, la que luego puede enviar a un sitio Web determinado vía HTTP.

> Win32/Agent.NEZ

Troyano que instala un servidor proxy en el equipo infectado. Puede ser instalado y ejecutado por otros malwares, o a través de sitios maliciosos utilizando conocidas vulnerabilidades.

> Win32/Agent.NFE

Troyano que es instalado en el sistema por otros malwares.

> Win32/Agent.NGC

Troyano capaz de robar información del equipo y del usuario conectado, y enviarlo a un atacante remoto.

> Win32/Agent.NGN

Troyano capaz de robar contraseñas almacenadas en el equipo infectado, incluyendo el caché protegido de Windows.

> Win32/Agent.NHZ

Virus que infecta archivos .EXE e instala un rootkit en los equipos infectados.

> Win32/Agent.NIK

Troyano que monitorea cuando el usuario se conecta, a ciertos servidores relacionados con varios juegos en línea.

> Win32/Agent.NKI

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/Agent.NLB

Troyano que modifica el registro de Windows y abre una puerta trasera en el equípo infectado.

> Win32/Agent.NLC

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/Agent.NLL

Troyano que se conecta a distintos servidores para envíar y spam. También puede descargar archivos de Internet.

> Win32/Agent.NLQ

Troyano que actúa como puerta trasera y puede ser controlado remotamente.

> Win32/Agent.NPY

Troyano especializado en la captura de información sensible y credenciales de autenticación a entidades bancarias brasileñas

> Win32/Agent.QT

Troyano capaz de capturar información relacionada con servicios de acceso telefónico, la que luego puede enviar a un sitio Web determinado vía HTTP.

> Win32/Agent.WI

Troyano que abre una puerta trasera permitiendo que se pueda tomar el control total del equipo infectado.

> Win32/Agent.WJ

Troyano capaz de propagarse a través de dispositivos removibles.

> Win32/Agobot.3.AEN

Gusano que se propaga a través de redes compartidas que utilicen contraseñas débiles. Se vale de conocidas vulnerabilidades. Un atacante externo puede acceder en forma remota a la computadora infectada, a través del IRC.

> Win32/Agobot.3.AHN

Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades. Un atacante externo puede acceder en forma remota al equipo infectado, a través del IRC. Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos.

> Win32/Agobot.3.AHT

> Win32/Agobot.3.AMA

> Win32/Agobot.3.CL

Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades. Un atacante externo puede acceder en forma remota al equipo infectado, a través del IRC. Intenta robar contraseñas y claves de conocidos juegos.

> Win32/Agobot.3.ET

> Win32/Agobot.3.FO

> Win32/Agobot.3.Q

> Win32/Agobot.3.TE

> Win32/Agobot.3.XY

> Win32/Agobot.3.ZQ

Gusano que se propaga a través de redes compartidas que utilicen contraseñas débiles, se vale de conocidas vulnerabilidades. Un atacante externo puede tener control del equipo infectado a través de IRC.

> Win32/Agobot.3.ZW

> Win32/Agobot.A

Es un troyano que abre una puerta trasera (backdoor), para habilitar el acceso de un intruso a la computadora infectada.

> Win32/Agobot.ACU

> Win32/Agobot.ACV

> Win32/Agobot.ADL

> Win32/Agobot.ADS

> Win32/Agobot.AEE

> Win32/Agobot.AEG

> Win32/Agobot.AEJ

> Win32/Agobot.AGV

> Win32/Agobot.AJB

> Win32/Agobot.AOT

> Win32/Agobot.ASE

> Win32/Agobot.ASQ

> Win32/Agobot.ATC

> Win32/Agobot.ATD

> Win32/Agobot.JT

> Win32/Agobot.LR

> Win32/Agobot.NAE

Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades, entre ellas "Plug and Play buffer overflow" (MS05-039). Esta solo puede ser explotada en equipos con Windows 2000 sin el parche MS05-039 instalado.

> Win32/Agobot.NNP

> Win32/Agobot.NNQ

> Win32/Agobot.NNT

> Win32/Agobot.NQX

> Win32/Agobot.NRL

> Win32/Agobot.NY

> Win32/Agobot.NYA

> Win32/Agobot.NYG

> Win32/Agobot.NYH

> Win32/Agobot.NYI

> Win32/Agobot.NYJ

> Win32/Agobot.NYK

> Win32/Agobot.NZF

> Win32/Agobot.NZU

> Win32/Agobot.NZV

> Win32/Agobot.OU

> Win32/Agobot.SV

> Win32/Agobot.TH

> Win32/Agobot.TI

> Win32/Agobot.UF

> Win32/Aidid.A

Virus que sobreescribe todos los archivos de la unidad A: con una copia de si mismo.

> Win32/Ailati.A

Este troyano elimina la carpeta de Windows en las versiones Windows 95, 98, Me y XP, obligando a su reinstalación. Se presenta con la bandera de Italia como icono.

> Win32/Aimbot.G

Gusano que se propaga por AOL Instant Messaging (AIM).

> Win32/Aimdes.A

Gusano que se propaga por AOL Instant Messenger y correo electrónico.

> Win32/Aimdes.B1

Gusano que se propaga por AOL Instant Messenger enviándose a todos los contactos de la "AIM Buddy List".

> Win32/Ainesey.A

Gusano que se envía en forma masiva a todos los contactos de la libreta de direcciones utilizando el correo. El nombre del asunto, texto y datos adjuntos cambian en cada mensaje.

> Win32/Akak.A

Virus que actua como un servidor de puerta trasera, crea un proxy en el equipo infectado. Cuando el usuario visita sitio con contenido maligno el virus se instala en el equipo.

> Win32/Akosw.A

Gusano escrito en Microsoft C++ que se envía masivamente a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows (Windows Address Book). Cambia la asociación de los archivos .TXT, ejecutándose el gusano en lugar del bloc de notas.

> Win32/Aladinz.R

El troyano es un servidor con una puerta trasera que le permite a un atacante externo tener control total del equipo. Utiliza un cliente mIRC para comunicarse con el atacante. También crea un servidor FTP.

> Win32/Alcan.A

Gusano que se propaga por redes P2P, disfrazado como una utilidad o programa. Siempre aparece en un archivo .ZIP con el nombre de algún programa conocido, y en su interior un ejecutable llamado SETUP.EXE.

> Win32/Alcaul

Es un gusano en Visual Basic Script programado con una herramienta creada para ello, por lo que existen infinidad de versiones. Casi todas se propagan vía correo electrónico a todos los contactos de la libreta de direcciones.

> Win32/Alcop

Simula ser un protector de pantalla pornográfico, hecho en Flash.

> Win32/Aldem.A

Además de propagarse utilizando distintos métodos puede finalizar conocidos programas antivirus y cortafuegos.

> Win32/Alexmo.A

Troyano que roba contactos de correo electrónico y luego los envía a una dirección predeterminada.

> Win32/Aliz.A

Un gusano de correo electrónico, escrito en Assembler, que aprovechando un agujero de seguridad del Internet Explorer, puede ejecutarse automáticamente en equipos vulnerables.

> Win32/Allaple

Troyano que modifica archivos .HTM y .HTML para ejecutarse cada vez que se visualiza una página infectada.

> Win32/Allaple.A

Gusano que se propaga a traves de programas de mensajería instantánea.

> Win32/Allaple.D

Gusano que se propaga vía programas de mensajería instantánea.

> Win32/Alman.NAA

Virus del tipo parásito capaz de infectar archivos .EXE del equipo infectado.

> Win32/Alman.NAB

Virus del tipo parásito capaz de infectar archivos .EXE del equipo infectado.

> Win32/Amasso.A

Troyano que actúa como un programa proxy IRC, contiene una puerta trasera que permite que un atacante externo tenga control del equipo infectado. Se propaga en un mensaje con el asunto "Osama Found Hanged". Esta creado con el lenguaje C++ y comprimido con UPX.

> Win32/Amitis.13

Este caballo de Troya posibilita que un atacante pueda tomar el control de la máquina infectada. Por defecto se conecta por los puertos TCP/12345, 3547, 47387,44390, 7823, 13173, 64429, y 44280.

> Win32/Amitis.143.B

Troyano que puede abrir una puerta trasera en el equipo infectado, sin el conocimiento del usuario.

> Win32/Amus.a

Gusano que se propaga como datos adjuntos dentro de un mensaje de correo electrónico. Esta escrito en Visual Basic y comprimido utilizando la aplicación Yoda.

> Win32/Anig.A

Gusano con características de troyano. Se propaga por recursos compartidos de redes, y captura el teclado. Roba contraseñas. Puede recibir instrucciones remotas, y se comunica con el atacante vía ICQ.

> Win32/Anig.B

Gusano que se propaga por recursos compartidos de redes, y captura la salida del teclado. Roba contraseñas y otra información del usuario infectado. Puede recibir instrucciones remotas, y se comunica con el atacante vía ICQ. Suplanta un componente utilizado en Windows XP, NT y 2000 para la identificación y autenticación.

> Win32/Anig.C

Variante de Anig.B, básicamente idéntica. Se trata de un gusano que se propaga a través de recursos compartidos en redes. Captura la salida del teclado y roba contraseñas y otra información crítica. Puede recibir instrucciones remotas, y se comunica con el atacante vía ICQ. Suplanta un componente utilizado en Windows XP, NT y 2000 para la identificación y autenticación de sesión.

> Win32/Anirak.A

Es un gusano escrito en Visual Basic, capaz de copiarse a si mismo en disquetes.

> Win32/Anits.A

Troyano que descarga y ejecuta archivos desde Internet.

> Win32/Anker.A

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P.

> Win32/Anker.C

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P.

> Win32/Anker.E

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P. Periódicamente intenta apagar el equipo infectado.

> Win32/Anker.F

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P. Periódicamente intenta apagar el equipo infectado.

> Win32/Anker.G

Gusano que se propaga por correo electrónico, redes compartidas, canales de IRC y aplicaciones P2P. Periódicamente intenta apagar el equipo infectado.

> Win32/Anker.J

Gusano que se propaga por correo electrónico. Periódicamente intenta apagar el equipo infectado.

> Win32/Anker.P

Gusano que se propaga por correo electrónico a todas las direcciones recolectadas de la carpeta de archivos temporales de Internet en el equipo infectado.

> Win32/Annil.G

Gusano que se propaga por correo electrónico, rede compartidas y redes P2P. Se envía a todos los contactos de la libreta de direcciones utilizando su propio motor SMTP.

> Win32/Anset.A

Virus escrito en el lenguaje de programación Delphi, el cual intentará enviarse a todas las direcciones de correo de la Libreta del Outlook.

> Win32/Anset.B

Segunda versión del gusano con mínimas diferencias en el envío por correo electrónico. De todas maneras los errores de la primera versión persisten.

> Win32/Anset.C

Con la mayoría de sus errores solucionados se envía por correo electrónico como lo intentaban sus versiones anteriores.

> Win32/Antiman.A

Gusano que se propaga por correo electrónico, utilizando mensajes en rumano.

> Win32/Antiman.C

Gusano que se propaga por correo electrónico, utilizando mensajes en rumano.

> Win32/Antinny.A

Gusano de origen japonés el cual se propaga utilizando la red de intercambio de archivos Winny.

> Win32/Antinny.AL

Esta variante del gusano borra archivos ubicados dentro de la unidad C:. También roba información del usuario. Se propaga por la red P2P de intercambio de archivos entre usuarios llamada Winny, de origen japonés.

> Win32/Antinny.N

Se propaga por la red P2P de intercambio de archivos entre usuarios llamada Winny, de origen japonés, creando una copia de si mismo con un nombre aleatorio en la carpeta de dicha aplicación.

> Win32/Antinny.O

Esta variante del gusano borra archivos ubicados dentro de la unidad C:, También roba información del usuario. Se propaga por la red P2P de intercambio de archivos entre usuarios llamada Winny, de origen japonés.

> Win32/Antinny.S

> Win32/Antinny.T

> Win32/Aplore.A

Instala en el sistema un servidor web en el puerto 8180 y envía links de éste a usuarios del AIM e IRC.

> Win32/Apost.A

No posee rutina dañina, simplemente se envía por correo electrónico a los contactos de la Libreta de direcciones.

> Win32/Apribot.A

Gusano que intenta conectarse a un servidor ICR utilizando una puerta trasera. Obtiene direcciones de correo electrónico, luego las envía a un usuario remoto.

> Win32/Archivarius.A

Gusano que actúa como puerta trasera y puede ser controlado remotamente.

> Win32/Argen.A

Destructivo gusano, programado en Delphi, se vale de un script de Visual Basic para enviarse a si mismo a todos los contactos de la libreta de direcciones de Microsoft Outlook.

> Win32/Arhiveus.A

Troyano que secuestran archivos y luego piden al usuario un pago como rescate para liberarlos.

> Win32/Ariss.A

Gusano escrito en Borland Delphi y comprimido con ASPack, que se propaga masivamente por correo electrónico, e intenta eliminar al gusano Bropia de las máquinas que estuvieran infectadas por ese gusano.El ejecutable requiere algunas bibliotecas en tiempo de ejecución (runtime DLL), por lo que no funciona en todos los sistemas.

> Win32/Aritim.A

Este virus es capaz de propagarse a través de Kazaa además de insertarse en procesos activos como una libreria de vínculo dinámico (dll).

> Win32/Arr.A

Virus residente en memoria, intenta conectarse a un sitio remoto: Un atacante externo puede tener control del equipo infectado.

> Win32/Assasin.20

Troyano que abre una puerta trasera de acceso remoto, y captura todo lo tecleado por el usuario.

> Win32/Assasin.20.C

La presencia de este caballo de Troya en una máquina infectada, compromete su integridad y la privacidad de la información almacenada, al posibilitar que un atacante pueda tomar el control de la misma. Casi siempre puede ser identificado por la existencia de un archivo de nombre "Ide.exe".

> Win32/Assasin.20.Q

Troyano que abre una puerta trasera de acceso remoto, y captura todo lo tecleado por el usuario.

> Win32/Astef.A

Se propaga utilizando las principales aplicaciones de intercambio de archivos P2P.

> Win32/Atak.A

Gusano escrito en Visual C++ 5.0, se propaga utilizando el correo electrónico.

> Win32/Augudor.A

Al infectar un equipo abre el puerto TCP 1011 y queda a la espera de instrucciones por parte del autor.

> Win32/Auric.A

Posee dos variantes, una de ellas comprimida con la utilidad UPX. Puede llegar en un mensaje escrito en húngaro.

> Win32/Auric.B

Segunda versión del gusano, esta vez conteniendo rutinas bastante molestas para el usuario.

> Win32/Auric.C

Como las versiones anteriores, posee dos variantes, una de ellas comprimida con la utilidad UPX. Puede llegar en un mensaje escrito en húngaro.

> Win32/Auric.D

Puede llegar en un mensaje escrito en húngaro, diferente al mostrado por las otras versiones. Se propaga por e-mail, IRC y redes P2P. Modifica el registro de Windows dificultando la remoción del gusano en un equipo infectado.

> Win32/Autex.A

Tiene la capacidad de propagarse como Auto.exe a todas las unidades de red conectadas al equipo infectado.

> Win32/Autoit.AD

Gusano que se propaga a través de programas de mensajería instantánea, enviando mensajes con enlaces a todas las listas de contacto del usuario infectado.

> Win32/Autoit.DI

Troyano que roba contraseñas de tarjetas de credito y datos bancarios.

> Win32/Autoit.G

Gusano que se propaga a través de programas de mensajería instantánea, enviando mensajes con enlaces a todas las listas de contacto del usuario infectado.

> Win32/Autoit.Q

Gusano que se propaga a través de programas de mensajería instantánea.

> Win32/Autorooter.A

Se trata de un gusano/troyano multi-componentes, que se aprovecha de la vulnerabilidad en la interface RPC DCOM de Microsoft descrita como crítica en el boletín MS03-026 de Microsoft.

> Win32/AutoRun.AB

Gusano que se carga al inicio del sistema, y puede ejecutarse cada vez que se accede a una unidad de disco o se inserta una unidad extraíble (por ejemplo, memoria USB).

> Win32/AutoRun.AC

Gusano que se carga al inicio del sistema, y puede ejecutarse cada vez que se accede a una unidad de disco o se inserta una unidad extraíble.

> Win32/AutoRun.AP

Gusano que se carga al inicio del sistema, y puede ejecutarse cada vez que se accede a una unidad de disco o se inserta una unidad extraíble.

> Win32/AutoRun.D

Virus que se carga al inicio del sistema, y puede ejecutarse cada vez que se accede a una unidad de disco o se inserta una unidad extraíble.

> Win32/AutoRun.JS

Gusano que se propaga por redes compartidas y crea una puerta trasera en el eauipo infectado.

> Win32/AutoRun.KP

Troyano que se conecta con un servidor IRC en espera de comandos remotos.

> Win32/AutoRun.OV

Gusano que captura la salida del teclado para robar información de tarjetas de credito, nombres de usuario, contraseñas y datos confidenciales.

> Win32/AutoRun.PO

Gusano que se conecta a un servidor ICR y se propaga por redes locales.

> Win32/AutoRun.QB

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/AutoRun.QP

Troyano que se propaga por redes compartidas.

> Win32/Avisa.A

Troyano que roba claves de archivos ".PWL" además de documentos del usuario, después los envía a un FTP especifico. Se hace pasar como un tests de inteligencia. Esta escrito en Microsoft Visual Basic 6.

> Win32/Avisa.B

Variante del Avisa.A, se trata de un troyano que roba claves buscado archivo ".PWL", para esto utiliza la API WnetEnumCachedPasswords, los datos son guardados y enviados a un FTP especifico. Se hace pasar como un tests de inteligencia.

> Win32/Axatak.A

Además de propagarse entre unidades lógicas, posee un componente troyano capaz de dar acceso al sistema a un atacante.

> Win32/Axon.A

El W32.Axon es un virus simple que infecta archivos con la extensión .EXE, borrando todos los .MP3 y .AVI de todos los discos duros de la víctima.

> Win32/Axon.B

El W32.Axon.B es un virus simple que infecta archivos con la extensión .EXE, borrando todos los .MP3 y .AVI de todos los discos duros de la víctima.

> Win32/Baba.B

Gusano reportado el 21 de octubre, como una variante del Netsky. Luego de un examen más profundo se pudo comprobar que se trata de un nuevo gusano, con solo algunas características similares a los de la familia del Netsky, motivo por el cuál se le ha cambiado el nombre, primero a Baba, y finalmente a Buchon. El gusano libera y ejecuta un troyano.

> Win32/BabyBear.A

Genera una gran cantidad de archivos y directorios dentro de la unidad C:. Esta última acción dañará los sistemas si la unidad posee una partición FAT16.

> Win32/Bacalid

Virus con capacidades polimórficas, es capaz de infectar archivos .EXE y .DLL de Windows.

> Win32/Bacalid.B

Virus con capacidades polimórficas, capaz de infectar archivos .EXE y .DLL de Windows.

> Win32/Backdoor.XLBH.B

Troyano que permite el acceso remoto irrestricto de cualquier intruso a la computadora infectada, a través de una conexión TCP.

> Win32/Backzat.H

Se propaga a través de los canales de IRC (vía mIRC), AIM (AOL Instant Messenger) y la red KaZaa. Posee una peligrosa rutina con la que puede puede borrar el sector de arranque del disco duro, y todos los archivos de conocidos antivirus y cortafuegos.

> Win32/Bacros.A

Virus escrito en Borland Deplhi, infecta archivos locales del sistema, renombrando todos los archivos ".TXT" como ".EXE".

> Win32/Badtrans.A

Un gusano, similar al Worm.Plage, que se reproduce por correo electrónico, e instala un keylogger (logueador del teclado) en el sistema.

> Win32/Badtrans.B

La segunda versión del W32/Badtrans. Capaz de reproducirse por correo electrónico automáticamente aprovechando una vulnerabilidad en el Internet Explorer.

> Win32/Bagle.A

Gusano residente en memoria, que se propaga a través del correo electrónico. Se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza un nombre de adjunto con caracteres al azar, y el asunto "Hi".

> Win32/Bagle.AB

Variante del Bagle detectada el 28 de abril de 2004, de gran propagación. Utiliza mensajes con diferentes asuntos y archivos adjuntos. En ocasiones adjunta un archivo GIF en el mensaje, conteniendo la contraseña de un adjunto .ZIP encriptado. También se propaga por redes P2P, y abre un acceso por puerta trasera, permitiendo el control del equipo infectado por parte de un atacante remoto.

> Win32/Bagle.AC

Variante del Bagle.W detectada el 13 de mayo de 2004. Se propaga mediante el envío masivo de correo no solicitado, desde un servidor proxy instalado en la máquina infectada. No posee rutinas propias de propagación vía correo electrónico. El componente troyano con puerta trasera que instala en el puerto TCP/17771, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Inyecta dos DLL en el proceso EXPLORER.EXE dificultando su eliminación, y finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AD

Variante del Bagle detectada el 4 de julio de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera que instala en el puerto TCP/1234, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AE

> Win32/Bagle.AF

Variante del Bagle detectada el 15 de julio de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AG

Variante del Bagle detectada el 18 de julio de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AG2

Variante del Bagle.AD, recomprimida con la utilidad UPX, y detectada el 18 de julio de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera que instala en el puerto TCP/1234, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AH2

Variante del Bagle detectada el 23 de julio de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AI

Esta versión del Bagle se reproduce en un mensaje de correo electrónico con un archivo adjunto de extensión ZIP que contiene un archivo EXE y otro HTML.

> Win32/Bagle.AJ

Variante del Bagle detectada el 18 de agosto de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AQ

Variante del Bagle detectada el 28 de setiembre de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera es utilizado para el envío masivo de mensajes.

> Win32/Bagle.AS

Gusano que se envía en forma masiva por correo electrónico. Se copia dentro de carpetas compartidas. Utiliza su propio motor SMTP para reproducirse. Se ha agregado una herramienta de limpieza gratuita para este gusano en nuestra Enciclopedia.

> Win32/Bagle.AT

Gusano que se envía en forma masiva por correo electrónico. Se copia dentro de carpetas compartidas. Utiliza su propio motor SMTP para reproducirse.

> Win32/Bagle.AU

Gusano que se envía en forma masiva por correo electrónico. Se copia dentro de carpetas compartidas. Utiliza su propio motor SMTP para reproducirse.

> Win32/Bagle.AV

Gusano que se propaga por correo electrónico. Se copia dentro de carpetas compartidas. Utiliza su propio motor SMTP para reproducirse. Esta escrito en Visual C.

> Win32/Bagle.AW

Variante del Bagle detectada el 26 de enero de 2005. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AX

Variante del Bagle.AW detectada el 27 de enero de 2005. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.AY

Variante recomprimida del Bagle.AX detectada el 27 de enero de 2005. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.B

Gusano de gran propagación, detectado el 17 de febrero de 2004. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza un nombre de adjunto con caracteres al azar, y el asunto "ID [caracteres al azar]... thanks". Lanza la grabadora de sonidos de Windows, y posee un componente backdoor. Tiene fecha de finalización (25 de febrero). En nuestro sitio encontrará una utilidad gratuita de desinfección.

> Win32/Bagle.BA

Variante del gusano Bagle detectada el 1 de marzo de 2005, y enviada masivamente en forma de spam. Se trata de un troyano que libera al gusano en las máquinas infectadas (dropper). Existe herramienta de limpieza.

> Win32/Bagle.BB

> Win32/Bagle.BH

Gusano que es descargado de Internet por el troyano Win32/TrojanDownloader.Small.ZL.

> Win32/Bagle.BI

Gusano que es descargado de Internet por otro troyano. Al ejecutarse, para intentar engañar al usuario, abre el Microsoft Paint (mspaint.exe). Detectado el 26 de junio, una variante recomprimida fue detectada el 8 de agosto de 2005.

> Win32/Bagle.BQ

Gusano que se propaga enviandose masivamente por correo electrónico.

> Win32/Bagle.BR

Gusano que se propaga enviándose masivamente por correo electrónico y redes P2P.

> Win32/Bagle.BS

Gusano que se propaga enviandose masivamente por correo electrónico.

> Win32/Bagle.BT

Variante del gusano Bagle detectada el 11 de agosto de 2005, enviada en forma de spam.

> Win32/Bagle.BU

Variante del gusano Bagle detectada el 11 de agosto de 2005, es enviada en forma de spam.

> Win32/Bagle.BV

Variante del gusano Bagle detectada el 11 de agosto de 2005, enviada en forma de spam.

> Win32/Bagle.BW

Variante del gusano Bagle detectada el 12 de agosto de 2005, enviada en forma de spam.

> Win32/Bagle.BX

Variante del gusano Bagle detectada el 12 de agosto de 2005, enviada en forma de spam.

> Win32/Bagle.C

Gusano de gran propagación, detectado el 28 de febrero de 2004. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos diferentes y el cuerpo del mensaje se presenta en blanco. El adjunto es un archivo .ZIP con un nombre formado por caracteres al azar. Cuando se ejecuta por primera vez, lanza el bloc de notas de Windows. Además posee un componente backdoor. Tiene fecha de finalización (14 de marzo de 2004), y puede terminar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.CB

Gusano que es descargado por el Win32/Lebreat.S. También se propaga por redes P2P.

> Win32/Bagle.CI

Variante del Bagle, fue reportada el 19 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CJ

Variante del Bagle, fue reportada el 19 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CK

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CL

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CM

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CN

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CO

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CP

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CQ

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CR

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CS

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CT

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CU

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CV

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CW

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CX

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CY

Variante del Bagle, fue reportada el 20 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.CZ

Variante del Bagle, fue reportada el 21 de setiembre de 2005, enviada en forma masiva por medio de spam.

> Win32/Bagle.D

Gusano de gran propagación, detectado el 28 de febrero de 2004. Es similar al Bagle.C, detectado el mismo día. Los cambios hechos en su código, son solo para eludir la identificación de algunos antivirus. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos diferentes y el cuerpo del mensaje se presenta en blanco. El adjunto es un archivo .ZIP con un nombre formado por caracteres al azar. Cuando se ejecuta por primera vez, lanza el bloc de notas de Windows. Además posee un componente backdoor. Tiene fecha de finalización (14 de marzo de 2004), y puede terminar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.DA

Gusano escrito en Visual C, que se propaga por correo electrónico. También intenta propagarse por redes P2P.

> Win32/Bagle.DB

Gusano escrito en Visual C, que se propaga por correo electrónico. También intenta propagarse por redes P2P.

> Win32/Bagle.DC

Es un gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet. Fue detectado el 1 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas. Parece haber sido enviado masivamente en forma de spam (correo electrónico no solicitado).

> Win32/Bagle.DD

Idéntico a la versión DC, salvo que está recomprimido y utiliza otro nombre de archivo dentro del .ZIP. Es un gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet. Fue detectado el 1 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas.

> Win32/Bagle.DE

Gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet. Fue detectado el 1 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas.

> Win32/Bagle.DF

> Win32/Bagle.DG

> Win32/Bagle.DH

Gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet. Fue detectado el 2 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas.

> Win32/Bagle.DI

Troyano descargado por las nuevas variantes del Bagle, que intenta desactivar varios productos antivirus y cortafuegos. Fue detectado el 2 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas.

> Win32/Bagle.DJ

> Win32/Bagle.DK

Troyano descargado por las nuevas variantes del Bagle, que intenta desactivar varios productos antivirus y cortafuegos.

> Win32/Bagle.DL

Gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet.

> Win32/Bagle.DM

Gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet.

> Win32/Bagle.DN

Troyano descargado por las nuevas variantes del Bagle, que intenta desactivar varios productos antivirus y cortafuegos.

> Win32/Bagle.DO

Gusano que se propaga por correo electrónico e intenta descargar y ejecutar otros archivos de Internet.

> Win32/Bagle.DP

Gusano descargado por variantes del Bagle, que intenta desactivar diversos productos antivirus y cortafuegos.

> Win32/Bagle.DQ

Troyano descargado por las nuevas variantes del Bagle, que intenta desactivar varios productos antivirus y cortafuegos.

> Win32/Bagle.DR

Gusano y troyano que se propaga por correo electrónico en forma de spam.

> Win32/Bagle.drp.gen2

Variante del Bagle detectada el 19 de julio de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.DS

Gusano que se propaga por correo electrónico.

> Win32/Bagle.DT

Gusano que se propaga por correo electrónico.

> Win32/Bagle.DU

Gusano y troyano que se propaga por correo electrónico en forma de spam.

> Win32/Bagle.DV

Gusano y troyano que se propaga por correo electrónico en forma de spam.

> Win32/Bagle.E

Detectado el 28 de febrero de 2004, es la tercera versión surgida el mismo día del Bagle. Esta variante tiene algunos cambios en su código, y está comprimido con la herramienta PeX (las anteriores usaban UPX). Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos diferentes y el cuerpo del mensaje, a diferencia de las variantes C y D, posee un texto. El adjunto es un archivo .ZIP con un nombre formado por caracteres al azar. Cuando se ejecuta por primera vez, lanza el bloc de notas de Windows. Además posee un componente backdoor. Tiene fecha de finalización (25 de marzo de 2004), y puede finalizar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.EA

Gusano que se propaga por correo electrónico en forma de spam.

> Win32/Bagle.EB

Gusano escrito en Visual C, que se propaga por correo electrónico y redes P2P.

> Win32/Bagle.EC

Gusano que se propaga por correo electrónico.

> Win32/Bagle.ED

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EE

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EF

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EF

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EG

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EH

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EI

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EJ

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EK

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EL

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EM

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EN

Gusano que se propaga por correo electrónico. Variante modificada del Bagle.EG

> Win32/Bagle.EO

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EP

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EQ

Gusano que se propaga por correo electrónico.

> Win32/Bagle.ER

Gusano que se propaga por correo electrónico.

> Win32/Bagle.ES

Gusano que se propaga por correo electrónico.

> Win32/Bagle.ET

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EV

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EY

Gusano que se propaga por correo electrónico.

> Win32/Bagle.EZ

Gusano que se propaga por correo electrónico.

> Win32/Bagle.F

Una nueva versión del Bagle, detectada el 29 de febrero de 2004. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .SCR o .ZIP, en este último caso en ocasiones es un ZIP protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje). Los nombres de los adjuntos son tomados de una extensa lista. El archivo muestra el icono de una carpeta de Windows. Posee un componente backdoor y tiene fecha de finalización (25 de marzo de 2004). Puede finalizar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.FA

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FB

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FC

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FD

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FE

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FF

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FG

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FH

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FL

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FM

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FN

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FO

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FP

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FQ

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FU

Troyano que se propaga por correo electrónico.

> Win32/Bagle.FV

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FW

Gusano que se propaga por correo electrónico.

> Win32/Bagle.FX

Gusano que descarga y ejecuta otros componentes del Bagle.

> Win32/Bagle.G

Versión del Bagle idéntica al Bagle.F, detectada también el 29 de febrero de 2004. El ejecutable ha sido recomprimido, y se ha cambiado el nombre de uno de los procesos que finaliza (outpos1t.exe en lugar de outpost.exe). Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .SCR o .ZIP, en este último caso en ocasiones es un ZIP protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje). Los nombres de los adjuntos son tomados de una extensa lista. El archivo muestra el icono de una carpeta de Windows. Posee un componente backdoor y tiene fecha de finalización (25 de marzo de 2004). Puede finalizar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.GB

Troyano del tipo "dropper" que libera y ejecuta otro componente malicioso, el cual a su vez intenta descargar otro componente desde Internet.

> Win32/Bagle.GC

Gusano que se propaga a través de correo electrónico como spam masivo.

> Win32/Bagle.GE

Gusano que se propaga por correo electrónico. También intenta propagarse por redes P2P.

> Win32/Bagle.GH

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

> Win32/Bagle.GI

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

Insert Another Sub Header Here

recoverpasswd@live.com.mx

> Win32/Bagle.GJ

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

> Win32/Bagle.GK

Gusano de Internet que libera un troyano en el sistema, para descargar otros códigos maliciosos.

> Win32/Bagle.GL

Gusano de Internet que libera un troyano en el sistema, para descargar otros códigos maliciosos.

> Win32/Bagle.GM

Gusano que se propaga masivamente vía correo electrónico.

> Win32/Bagle.GN

Gusano que se propaga masivamente vía correo electrónico.

> Win32/Bagle.GO

Gusano que se propaga masivamente vía correo electrónico.

> Win32/Bagle.GS

Troyano que descarga y ejecuta otros componentes.

> Win32/Bagle.GT

Gusano que se propaga masivamente vía correo electrónico.

> Win32/Bagle.GV

Troyano capaz de robar información del usuario y del equipo infectado.

> Win32/Bagle.GW

Gusano que intenta conectarse a una lista de sitios en Internet, desde donde descarga otros archivos.

> Win32/Bagle.GX

Gusano que se propaga por correo electrónico.

> Win32/Bagle.GY

Gusano que se propaga por correo electrónico.

> Win32/Bagle.GZ

Gusano que se propaga por correo electrónico.

> Win32/Bagle.H

Versión del Bagle idéntica a la variante "G", detectada el 1 de marzo de 2004. El ejecutable ha sido recomprimido, y se ha cambiado el nombre de los ejecutables. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .SCR o .ZIP, en este último caso en ocasiones es un ZIP protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje). Los nombres de los adjuntos son tomados de una extensa lista. El archivo muestra el icono de una carpeta de Windows. Posee un componente backdoor y tiene fecha de finalización (25 de marzo de 2004). Puede finalizar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.HA

Gusano que se propaga por correo electrónico.

> Win32/Bagle.HB

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.HC

Gusano que se propaga por correo electrónico.

> Win32/Bagle.HE

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.HF

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

> Win32/Bagle.HG

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

> Win32/Bagle.HJ

Gusano que se propaga por correo electrónico.

> Win32/Bagle.HK

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

> Win32/Bagle.HN

Gusano que se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.HS

Gusano que se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.HV

Gusano que se propaga a través de correo electrónico enviado como spam masivo.

> Win32/Bagle.HX

Gusano que se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.HZ

Gusano que se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.I

Nueva versión del gusano Win32/Bagle.A, similar a la versión .H, salvo que comprimida por la herramienta Pex.

> Win32/Bagle.ID

Gusano que se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IE

Gusano que se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IG

Gusano que se propaga por correo electrónico.

> Win32/Bagle.IL

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IM

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IP

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IR

Se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IS

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IT

Gusano que que propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IU

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.IY

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.J

Versión del Bagle detectada el 2 de marzo de 2004. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza una larga lista de asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .PIF o .ZIP, en este último caso en ocasiones es un ZIP protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje). Los nombres de los adjuntos son tomados de una extensa lista. El archivo muestra el icono de un documento de WordPad. Posee un componente backdoor y tiene fecha de finalización (25 de abril de 2005). Puede finalizar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.JA

Gusano que se propaga por correo electrónico. Tiene al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.JB

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.JC

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.JD

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.JN

Gusano que se propaga por correo electrónico.

> Win32/Bagle.K

Nueva variante de este gusano capaz de propagarse por correo electrónico, aplicaciones P2P además de instalar un troyano de puerta trasera.

> Win32/Bagle.K1

Versión del Bagle detectada el 9 de marzo de 2004. Residente en memoria, se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .PIF o .ZIP, en este último caso en ocasiones es un ZIP protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje). El archivo muestra el icono de un documento de WordPad. Posee un componente backdoor y tiene fecha de finalización (25 de marzo de 2005). Puede finalizar los procesos de algunos antivirus y cortafuegos.

> Win32/Bagle.KU

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.KW

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.L

Variante del Bagle reportada el 7 de abril de 2004, muy similar al Bagle.W, que no posee rutinas propias de propagación vía correo electrónico. Se trata de un troyano del tipo proxy, que instala una puerta trasera en el puerto TCP 14247, o cualquier otro aleatorio, siempre superior al 2000. Puede ser controlado por un usuario o proceso remoto, para el envío masivo de mensajes. A diferencia de la variante "W", no finaliza la ejecución de otras tareas activas.

> Win32/Bagle.LB

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.M

Versión del Bagle detectada el 14 de marzo de 2004. Se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .PIF, .ZIP o .RAR, en estos dos últimos casos, protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje o mediante una imagen que la muestra). El archivo muestra el icono del tipo de letra True-Type. Posee un componente backdoor y tiene fecha de finalización (31 de diciembre de 2005). Puede finalizar los procesos de algunos antivirus y cortafuegos. Esta variante infecta archivos .EXE.

> Win32/Bagle.NAA

Este gusano libera un componente troyano y abre el puerto 18881 para funcionar como repetidor de correo para enviar spam desde la máquina infectada. A diferencia de otras versiones del Bagle, no se puede propagar por sus propios medios.

> Win32/Bagle.NAJ

Variante del Bagle distribuido por otras versiones del propio gusano.

> Win32/Bagle.NAL

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes, dos "downloader" y un "mass-mailer".

> Win32/Bagle.NAS

Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

> Win32/Bagle.O

Otra variante del Bagle detectada el 15 de marzo de 2004 en algunos países. Se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .PIF, .ZIP o .RAR, en estos dos últimos casos, protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje o mediante una imagen que la muestra). Puede finalizar los procesos de algunos antivirus y cortafuegos, además de infectar archivos .EXE

> Win32/Bagle.P

Versión del Bagle detectada el 15 de marzo de 2004 y con un nivel importante de propagación en algunos países. Es una variante de las anteriores (M y N), pero de un mayor tamaño. Se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza asuntos y textos diferentes. El adjunto puede ser un archivo .PIF, .ZIP o .RAR, en estos dos últimos casos, protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje mediante la inserción de una imagen que también se adjunta). El archivo muestra el icono de los archivos de texto. Posee un componente backdoor y puede finalizar los procesos de algunos antivirus y cortafuegos. Como las variantes mencionadas antes, infecta archivos .EXE aumentando el tamaño de estos en 45 Kb.

> Win32/Bagle.Q

Versión del Bagle detectada el 18 de marzo de 2004. Se envía a direcciones de correo obtenidas de diferentes archivos de la máquina infectada. Utiliza asuntos y textos diferentes. El adjunto puede ser un archivo .EXE, .PIF, .ZIP o .RAR, en estos dos últimos casos, protegido con contraseñas (la misma se indica en el cuerpo del propio mensaje mediante la inserción de una imagen que también se adjunta). Posee un componente backdoor y puede finalizar los procesos de algunos antivirus y cortafuegos. Infecta archivos .EXE.

> Win32/Bagle.R

Esta versión del Bagle, segunda detectada el mismo día 18 de marzo de 2004, se propaga de una manera diferente a las anteriores. Puede llegar en un mensaje que no contiene adjuntos. Cuando se abre el mensaje, éste intenta explotar una vulnerabilidad en el Outlook que permite la descarga en forma automática del archivo del gusano desde la computadora del usuario infectado que envió el correo electrónico.

> Win32/Bagle.S

Esta versión del Bagle, tercera detectada el mismo día 18 de marzo de 2004, se propaga mediante un mensaje que no contiene adjuntos. Cuando se abre el mensaje, éste intenta explotar una vulnerabilidad en el Outlook que permite la descarga en forma automática del archivo del gusano desde la computadora del usuario infectado que envió el correo electrónico.

> Win32/Bagle.T

Cuarta versión del Bagle detectada el también el 18 de marzo de 2004. Se propaga mediante un mensaje que no contiene adjuntos. Cuando se abre el mensaje, éste intenta explotar una vulnerabilidad en el Outlook que permite la descarga en forma automática del archivo del gusano desde la computadora del usuario infectado que envió el correo electrónico.

> Win32/Bagle.U

Variante del Bagle, detectada en las primeras horas del 26 de marzo de 2004. Se trata de una versión muy simple del gusano. Se propaga en mensajes sin asunto ni texto alguno; solo un adjunto con nombres seleccionados al azar.

> Win32/Bagle.V

Variante del Bagle.U, detectada en las primeras horas del 29 de marzo de 2004. Se trata de una versión muy simple del gusano. Se propaga en mensajes sin asunto ni texto alguno, que contiene un archivo adjunto, siempre llamado GAME.EXE.

> Win32/Bagle.W

Variante del Bagle que se propaga mediante el envío masivo de correo no solicitado, desde un servidor proxy instalado en la máquina infectada. A diferencia de versiones anteriores, no posee rutinas propias de propagación vía correo electrónico. El componente troyano con puerta trasera que instala en el puerto TCP/17771, puede ser controlado por un usuario o proceso remoto, para el envío de mensajes. Inyecta dos DLL en el proceso EXPLORER.EXE dificultando su eliminación, y finaliza la ejecución de varios antivirus, cortafuegos y herramientas de Windows.

> Win32/Bagle.X

Variante del Bagle que se propaga mediante el envío masivo de correo no solicitado. En ocasiones adjunta un archivo JPEG en el mensaje, conteniendo la imagen de una mujer, y otro con la contraseña de un adjunto .ZIP encriptado. También se propaga por redes P2P, y abre un acceso por puerta trasera, permitiendo el control del equipo infectado por parte de un atacante remoto.

> Win32/Bagz.A

Gusano que se propaga por correo eletronico. Contiene una puerta trasera que puede ser utilizada por un atacante externo para instalar otros componentes.

> Win32/Bagz.B

Gusano que se propaga por correo eletronico utilizando su propio motor SMTP. También descarga archivos de Internet.

> Win32/Bagz.C

Gusano que intenta deshabilitar el cortafuegos de Windows XP. Al infecta un equipo este tiene una caída de rendimiento en la conexión a Internet.

> Win32/Bagz.D

Gusano que intenta deshabilitar el cortafuegos de Windows XP. Al infecta un equipo este tiene una caída de rendimiento en la conexión a Internet.

> Win32/Bagz.E

Gusano que intenta deshabilitar el cortafuegos de Windows XP. Al infecta un equipo este tiene una caída de rendimiento en la conexión a Internet.

> Win32/Bagz.F

Gusano que intenta deshabilitar el cortafuegos de Windows XP. Al infecta un equipo este tiene una caída de rendimiento en la conexión a Internet.

> Win32/Bagz.G

Gusano que intenta deshabilitar el cortafuegos de Windows XP. Al infecta un equipo este tiene una caída de rendimiento en la conexión a Internet.

> Win32/Bagz.H

Troyano, programado en Microsoft Visual C++ que libera otros troyanos en el sistema infectado.

> Win32/Bagz.N

Troyano, programado en Microsoft Visual C++, libera otros troyanos en el sistema infectado.

> Win32/Bandie.A

Gusano que se propaga por las redes del KaZaa, Morpheus e ICQ, y que sobrescribe archivos de Windows (bloc de notas e Internet Explorer), y otras utilidades de terceros.

> Win32/Bandok.H

Troyano capaz de descargar, instalar y ejecutar otros programas.

> Win32/Banito.D

Troyano que obtiene información del sistema infectado, luego esta es enviada a un usuario remoto. Se propaga por redes P2P, correo electrónico o al ser descargado por el usuario.

> Win32/Banito.F

Troyano que obtiene información del sistema infectado, luego esta es enviada a un usuario remoto. Se propaga por redes P2P, correo electrónico o al ser descargado por el usuario.

> Win32/Banito.G

Troyano de puerta trasera que obtiene información del equipo infectado.

> Win32/Banito.K

Troyano obtiene información del sistema infectado, y la envía a un usuario remoto.

> Win32/Banuris.B

Gusano que se propaga utilizando redes P2P, infecta unidades compartidas en red que tengan los permisos de escritura habilitados. Está escrito en Microsoft Visual Basic 6.0, y requiere la presencia de la librería MSVBVM60.DLL para ejecutarse.

> Win32/Banwarum.I

Gusano que se propaga por correo electrónico, en mensajes que incluyen asuntos y textos diferentes, todos en alemán. Algunos de estos textos están relacionados con el pasado campeonato mundial de fútbol Alemania 2006.

> Win32/Banwarum.N

> Win32/Banwarum.NAC

Gusano que se propaga por correo electrónico, en mensajes que incluyen asuntos y textos en alemán. Algunos de estos están relacionados con el campeonato mundial de fútbol Alemania 2006.

> Win32/Banwor.NAB

Puede propagarse a través de la vulnerabilidad RPC/DCOM de Microsoft Windows, en equipos sin los parches correspondientes.

> Win32/Banwor.NAJ

Troyano descargado por otro malware. Deshabilita el cortafuegos de Windows y finaliza procesos de aplicaciones de seguridad.

> Win32/Banwor.NBC

Troyano que captura la salida del teclado para robar información de tarjetas de credito, nombres de usuario, contraseñas y datos confidenciales.

> Win32/Banwor.NBG

Troyano que captura la salida del teclado para robar información de tarjetas de credito, nombres de usuario, contraseñas y datos confidenciales.

> Win32/Beagooz.A

Troyano descargado por versiones el Bagle.AS y Bagle.AU

> Win32/Beagooz.B

Troyano descargado por diferentes versiones de la familia del Bagle. Colecciona direcciones de correo electrónico del equipo infectado, y las envía a un servidor remoto en forma clandestina.

> Win32/Beagooz.C

Troyano descargado por diferentes versiones de la familia del Bagle. Colecciona direcciones de correo electrónico del equipo infectado, y las envía a un servidor remoto en forma clandestina.

> Win32/Beagooz.D

Troyano descargado por diferentes versiones de la familia del Bagle. Colecciona direcciones de correo electrónico del equipo infectado, y las envía a un servidor remoto en forma clandestina.

> Win32/Beastdoor.18.C

Troyano de puerta trasera que permite que un usuario remoto se conecte a un equipo infectado y realice acciones varias sin el conocimiento del usuario.

> Win32/BeastDoor.200

Al infectar un equipo abre un puerto de comunicaciones y queda a la espera de instrucciones por parte del atacante. Éste es notificado a través de ICQ.

> Win32/Beastdoor.202.B

Este troyano, habilita a un usuario malicioso el acceso remoto a una computadora infectada. Su presencia compromete la integridad y la privacidad de la información almacenada, al posibilitar que un atacante pueda tomar el control de la misma.

> Win32/Beasty.A

Troyano de puerta trasera, escucha el puerto TCP 9999 y informa a un atacante externo utilizando la aplicación ICQ. Un atacante externo puede tener control del equipo infectado.

> Win32/Beglur.A

Gusano de envío masivo que se propaga como adjunto en mensajes que mencionan a Saddam Hussein y a Osama Bin Laden. El gusano utiliza un exploit en el componente IFrame (una etiqueta que abre una ventana dentro de otra), para ejecutar el adjunto en forma automática al ver el mensaje.

> Win32/Beglur.B

Gusano que se propaga a través del correo electrónico y de redes locales. Intenta deshabilitar antivirus y cortafuegos, y además posee un componente de acceso remoto, que le permite crear, borrar y renombrar archivos y directorios en la máquina infectada, así como ejecutar comandos. Fue reconocido anteriormente como Win32/Narit.A.

> Win32/Bereb.A

Gusano que se propaga por la red P2P de WinMX. Además, posee un componente troyano que habilita una puerta trasera para que un atacante obtenga el control del equipo infectado vía IRC.

> Win32/Bereb.B

Variante de Win32/Bereb.A. Gusano que se propaga por la red P2P de WinMX. Además, posee un componente troyano que habilita una puerta trasera para que un atacante obtenga el control del equipo infectado vía IRC.

> Win32/Bereb.C

Gusano que se propaga por las redes P2P de Groskster, iMesh, KaZaA y WinMX. Posee un componente troyano que habilita una puerta trasera para que un atacante obtenga el control del equipo infectado vía IRC.

> Win32/BHO.BD

Troyano que instala un componente BHO. Contiene algunas características de rootkit para evitar ser fácilmente detectado. Es utilizado generalmente para la descarga de publicidad no deseada u otros malwares similares.

> Win32/BHO.DIU

Troyano que se instala como un objeto BHO (Browser Helper Object). También descarga archivos de Internet.

> Win32/BHO.NAF

Troyano que instala un componente BHO.

> Win32/BHO.NAT

Troyano que instala un componente BHO. Contiene algunas características de rootkit para evitar ser fácilmente detectado.

> Win32/Bi.A

Virus que infecta archivos ejecutables de Windows y Linux , en la carpeta en que se ejecute.

> Win32/BiBrog.A

Simula ser un juego de tiro a personajes del programa televisivo Big Brother (Gran Hermano) mexicano.

> Win32/Bibrog.E

Se propaga por correo electrónico, Kazaa, Grokster, Morpheus e ICQ. Además intenta robar contraseñas de populares sitios Webs.

> Win32/Bifrose

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/Bifrose.ABV

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/Bifrose.D

Troyano de puerta trasera que utiliza un servidor para enviar información a un atacante remoto.

> Win32/Bifrose.E

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/Bifrose.NAL

Troyano que abre una puerta trasera en el equipo infectado.

> Win32/Bifrose.NAV

Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC. Incluye funcionalidades para enviar mensajes de notificación.

> Win32/Bifrose.NBB

Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.

> Win32/Bifrose.NBF

Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.

> Win32/Bifrose.NCG

Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.

> Win32/Bifrose.NDL

Gusano que se propaga masivamente por correo electrónico. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC.

> Win32/Bimoco.A

Gusano que se propaga por correo electrónico enviando una copia de si mismo a todos los contactos de la libreta de direcciones. El asunto de los mensajes esta en español.

> Win32/Bitter.A

Gusano que se propaga por redes P2P. Esta creado utilizando un kit de construcción y puede inyectarse dentro de otros procesos.

> Win32/Bizex.E

Troyano que modifica la pagina de búsqueda del Internet Explorer. Se ejecuta como un proceso ocultando la carpeta "x3yy" en la cual se encuentra el virus.

> Win32/Bizex.F

Troyano que captura la salida del teclado, roba contraseñas y monitorea el acceso a sitios web. Los datos obtenidos son enviados a un sitio remoto.

> Win32/Bizten.A

Troyano capaz de modificar la página de inicio del Internet Explorer y agregar direcciones a los Favoritos del usuario.

> Win32/BlackHole.NAE

Troyano que permite a un atacante el acceso remoto a la computadora infectada. El atacante podrá tomar el control total del equipo.

> Win32/BlackHole.Q

Troyano que permite a un atacante remoto el acceso a la computadora infectada. El mismo podrá tomar el control total del equipo.

> Win32/Blare.A

Se trata de un gusano de Internet que se propaga a través del correo electrónico y canales de IRC. Presenta un mensaje contra el primer ministro británico Tony Blair.

> Win32/Blaxe.A

Utilizando el Grokster, KaZaA e iMesh intenta propagarse a otros equipos. Además se copia a disquettes.

> Win32/Blazefind.A

Una vez instalado en un equipo, puede descargar en él otros códigos maliciosos.

> Win32/Blinkcom.A

Gusano que se propaga utilizando SMTP en mensajes en castellano, a las direcciones que encuentre en el MSN Messenger.

> Win32/Bloored.A

Gusano que se propaga en forma masiva por correo electrónico y redes P2P. Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows. El virus infecta todos los archivos ".EXE" de la unidad C:

> Win32/Bloored.B

> Win32/Bloored.C

> Win32/BmBot.A

Troyano de puerta trasera el cual utiliza el IRC para comunicarse con el atacante.

> Win32/BO.NA

Troyano que abre una puerta trasera que permite a un usuario remoto tomar el control total del equipo infectado.

> Win32/Bobax.A

Reportado el 16 de mayo de 2004, Bobax es un gusano del tipo Sasser, que utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse. Cuando se ejecuta, no es visible en la lista de procesos.

> Win32/Bobax.AA

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AB

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AC

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AD

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AE

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AF

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AG

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AU

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AV

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AW

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.AX

Gusano que se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP.

> Win32/Bobax.B

Es un gusano que instala un proxy en el equipo infectado. Como el Sasser, utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse. Cuando se ejecuta, no es visible en la lista de procesos. Crea una archivo temporal con la extensión .DLL.

> Win32/Bobax.C

Bobax.C es un troyano que instala un proxy en el equipo infectado. Como el Sasser, utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse. Cuando se ejecuta, no es visible en la lista de procesos.

> Win32/Bobax.D

Detectado en las últimas horas del 19 de mayo de 2004, la variante "D" del gusano Bobax, instala un proxy en el equipo infectado. Utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse. Cuando se ejecuta, no es visible en la lista de procesos. Puede ser utilizado para el envío de spam.

> Win32/Bobax.H

Gusano que instala un proxy en el equipo infectado. Se propaga utilizando la vulnerabilidad en LSASS.EXE Windows XP y 2000.