Bagle

BAGLE, gusano/backdoor de Correo de propagación masiva, recibe comandos vía puerto TCP, etc.

W32/Bagle@mm, Backdoor/Bbeagle, I.worm.bagle@mm

Bagle es un gusano reportado el 19 de Enero del 2004, de alta propagación masiva a través de un mensaje de correo con un archivo Anexado, elegido aleatoriamente, con la extensión .EXE. Tiene un componente backdoor que le permite recibir comandos del autor a través del puerto TCP 6777 e intenta conectarse a varias direcciones URL.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con 15.5 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El mensaje tiene las siguientes características:

Asunto: Hi
Contenido:
Test =)
[caracteres_aleatorios]
--
Test, yep.
Anexado: [nombre_aleatorio].EXE

Al ser activado el gusano ejecuta la calculadora de Windows calc.exe y en forma simultánea se auto-copia a la carpeta %System% con el nombre de Bbeagle.exe y para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro en los sistemas basados en tecnología NT:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"d3updates.exe" = "%System%\Bbeagle.exe"

Para ejecutarse en Windows 98 crea en forma adicional dos llaves:

[HKEY_CURRENT_USER\Software\Windows98 "frun" = "1"
[HKEY_CURRENT_USER\Software\Windows98 "uid" = "[valor_aleatorio]"

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a todos los buzones de correo contenidos en los archivos con las extensiones:

wab
txt
htm
html

A excepción de las direcciones de correo con los siguientes dominios:

@hotmail.com
@msn.com
@microsoft.com
@avp.com

Actuando como backdoor el gusano se conecta remotamente a través del puerto TCP 6777 (sin asignación) para recibir comandos del autor del virus e intenta conectarse a varios sitios web (la mayoría de ellos ubicados en Alemania):

www.elrasshop.de
www.it-msc.de
www.getyourfree.net
www.dmdesign.de
64.176.228.13
www.leonzernitsky.com
216.98.136.248
216.98.134.247
www.cdromca.com
www.kunst-in-templin.de
vipweb.ru
antol-co.ru
www.bags-dostavka.mags.ru
www.5x12.ru
bose-audio.net
www.sttngdata.de
wh9.tu-dresden.de
www.micronuke.net
www.stadthagen.org
www.beasty-cars.de
www.polohexe.de
www.bino88.de/1.php
www.grefrathpaenz.de
www.bhamidy.de
www.mystic-vws.de
www.auto-hobby-essen.de
www.polozicke.de
www.twr-music.de
www.sc-erbendorf.de
www.montania.de
www.medi-martin.de
vvcgn.de
www.ballonfoto.com
www.marder-gmbh.de
www.dvd-filme.com
www.smeangol.com

Sus payloads son los siguientes:

Se propaga en mensajes de correo, con un archivo de nombre aleatorio, con la extensión .EXE
Al ser activado, el gusano ejecuta la calculadora de Windows mientras se copia a la carpeta %System% y genera diversas llaves de registro.
Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía haciendo uso de las direcciones de correo extraídas de archivos de ciertas extensiones.
Actuando como backdoor el gusano se conecta remotamente a través del puerto TCP 6777 para recibir comandos del autor del virus.
Intenta conectarse a varios sitios web.

PER ANTIVIRUS® versión 8.4 y 8.5 con registro de virus al 19 de Enero del 2004 detecta y elimina eficientemente este gusano/backdoor.