BAGLE.AI gusano/backdoor de Correo
y P2P deshabilita antivirus recibe comandos vía puertos TCP/UDP, etc. |
© Jorge
Machado Lima-Perú |
|
W32/Bagle.AI@mm,
W32/Beagle.AI@mm, Backdoor/Bagle.AI@mm
 |
|
Bagle.AI es un gusano/backdor residente en memoria variante de la familia
Bagle, reportado el 20 de Julio del 2004, de alta
propagación masiva en mensajes de correo con Remitentes falsos, Contenidos
y archivos Anexados de nombres y extensiones aleatorias.
También se difunde vía redes de compartimiento de
archivos Peer to Peer. Termina los procesos de antivirus,
firewalls y software de control, asi como de variantes del gusano Netsky. |
Abre un componente Backdoor a través del puerto
UDP 1040 (Netartx) y del TCP
1080 (Socks) que le permite establecer contacto con el autor del
virus y recibir comandos en forma remota.
Es un PE (Portable Ejecutable)
e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual
C++ con extensión variable y comprimido con el utilitario PeX:
http://protools.anticrack.de/packers.htm
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Email
Spoofing con direcciones falsas.
Asunto: Re:
Contenido, uno de los siguientes:
- >foto3 and MP3
- >fotogalary and Music
- >fotoinfo
- >Lovely animals
- >Animals
- >Predators
- >The snake
- >Screen and Music
Anexado, uno de los siguientes nombres:
- Cat
- Cool_MP3
- Dog
- Doll
- Fish
- Garry
- MP3
- Music_MP3
- New_MP3_Player
Con una de las siguientes extensiones:
En el caso de que el archivo anexado tenga la
extensión .ZIP, el Contenido del mensaje será:
- Password: [gráfico_del_password]
- Pass: [gráfico_del_password]
- Key: [gráfico_del_password]
El [gráfico_del_password] es mostrado en
formato BMP.
Al ser activado el gusano crea uno de los siguientes mutex (Exclusión
Mutua) para evitar
ser ejecutado en memoria más de una vez y para detener la ejecución de
variantes del gusano Netsky, en
caso existiesen:
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Luego se copia a la carpeta %System%
con el nombre de WinXp.exe y libera los
siguientes archivos:
- winxp.exe
- winxp.exeopen
- winxp.exeopenopen
- winxp.exeopenopenopen
- winxp.exeopenopenopenopen
Para ejecutarse la próxima
vez que se re-inicie el sistema genera la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"key" = "%System%\WinXP.exe"
Al siguiente re-inicio el gusano se activa en
memoria y termina con los procesos de cualquiera de los sistemas de seguridad
que tengan los siguientes archivos:
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
- APLICA32.EXE
- APVXDWIN.EXE
- ATCON.EXE
- ATGUARD.EXE
- ATRO55EN.EXE
- ATUPDATER.EXE
- ATWATCH.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVCONSOL.EXE
- AVGSERV9.EXE
- AVLTMAIN.EXE
- AVprotect9x.exe
- AVPUPD.EXE
- AVSYNMGR.EXE
- AVWUPD32.EXE
- AVXQUAR.EXE
- BD_PROFESSIONAL.EXE
- BIDEF.EXE
- BIDSERVER.EXE
- BIPCP.EXE
- BIPCPEVALSETUP.EXE
- BISP.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BOOTWARN.EXE
- BORG2.EXE
- BS120.EXE
- CDP.EXE
- CFGWIZ.EXE
- CFGWIZ.EXE
- CFIADMIN.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET.EXE
- CFINET32.EXE
- CFINET32.EXE
- CLEAN.EXE
- CLEAN.EXE
- CLEANER.EXE
- CLEANER.EXE
- CLEANER3.EXE
- CLEANPC.EXE
- CLEANPC.EXE
- CMGRDIAN.EXE
- CMGRDIAN.EXE
- CMON016.EXE
- CMON016.EXE
- CPD.EXE
- CPF9X206.EXE
- CPFNT206.EXE
- CV.EXE
- CWNB181.EXE
- CWNTDWMO.EXE
- DEFWATCH.EXE
- DEPUTY.EXE
- DPF.EXE
- DPFSETUP.EXE
- DRWATSON.EXE
- DRWEBUPW.EXE
- ENT.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- ESCANV95.EXE
- EXANTIVIRUS-CNET.EXE
- FAST.EXE
- FIREWALL.EXE
- FLOWPROTECTOR.EXE
- FP-WIN_TRIAL.EXE
- FRW.EXE
- FSAV.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- GBMENU.EXE
- GBPOLL.EXE
- GUARD.EXE
- GUARDDOG.EXE
- HACKTRACERSETUP.EXE
- HTLOG.EXE
- HWPE.EXE
- IAMAPP.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFW2000.EXE
- IPARMOR.EXE
- IRIS.EXE
- JAMMER.EXE
- KAVLITE40ENG.EXE
- KAVPERS40ENG.EXE
- KERIO-PF-213-EN-WIN.EXE
- KERIO-WRL-421-EN-WIN.EXE
- KERIO-WRP-421-EN-WIN.EXE
- KILLPROCESSSETUP161.EXE
- LDPRO.EXE
- LOCALNET.EXE
- LOCKDOWN.EXE
- LOCKDOWN2000.EXE
- LSETUP.EXE
- LUALL.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- MCAGENT.EXE
- MCUPDATE.EXE
- MCUPDATE.EXE
- MFW2EN.EXE
- MFWENG3.02D30.EXE
- MGUI.EXE
- MINILOG.EXE
- MOOLIVE.EXE
- MRFLUX.EXE
- MSCONFIG.EXE
- MSINFO32.EXE
- MSSMMC32.EXE
- MU0311AD.EXE
- NAV80TRY.EXE
- NAVAPW32.EXE
- NAVDX.EXE
- NAVSTUB.EXE
- NAVW32.EXE
- NC2000.EXE
- NCINST4.EXE
- NDD32.EXE
- NEOMONITOR.EXE
- NETARMOR.EXE
- NETINFO.EXE
- NETMON.EXE
- NETSCANPRO.EXE
- NETSPYHUNTER-1.2.EXE
- NETSTAT.EXE
- NISSERV.EXE
- NISUM.EXE
- NMAIN.EXE
- NORTON_INTERNET_SECU_3.0_407.EXE
- NPF40_TW_98_NT_ME_2K.EXE
- NPFMESSENGER.EXE
- NPROTECT.EXE
- NSCHED32.EXE
- NTVDM.EXE
- NUPGRADE.EXE
- NVARCH16.EXE
- NWINST4.EXE
- NWTOOL16.EXE
- OSTRONET.EXE
- OUTPOST.EXE
- OUTPOSTINSTALL.EXE
- OUTPOSTPROINSTALL.EXE
- PADMIN.EXE
- PANIXK.EXE
- PAVPROXY.EXE
- PCC2002S902.EXE
- PCC2K_76_1436.EXE
- PCCIOMON.EXE
- PCDSETUP.EXE
- PCFWALLICON.EXE
- PCFWALLICON.EXE
- PCIP10117_0.EXE
- PDSETUP.EXE
- PERISCOPE.EXE
- PERSFW.EXE
- PF2.EXE
- PFWADMIN.EXE
- PINGSCAN.EXE
- PLATIN.EXE
- POPROXY.EXE
- POPSCAN.EXE
- PORTDETECTIVE.EXE
- PPINUPDT.EXE
- PPTBC.EXE
- PPVSTOP.EXE
- PROCEXPLORERV1.0.EXE
- PROPORT.EXE
- PROTECTX.EXE
- PSPF.EXE
- PURGE.EXE
- PVIEW95.EXE
- QCONSOLE.EXE
- QSERVER.EXE
- RAV8WIN32ENG.EXE
- REGEDIT.EXE
- REGEDT32.EXE
- RESCUE.EXE
- RESCUE32.EXE
- RRGUARD.EXE
- RSHELL.EXE
- RTVSCN95.EXE
- RULAUNCH.EXE
- SAFEWEB.EXE
- SBSERV.EXE
- SD.EXE
- SETUP_FLOWPROTECTOR_US.EXE
- SETUPVAMEEVAL.EXE
- SFC.EXE
- SGSSFW32.EXE
- SH.EXE
- SHELLSPYINSTALL.EXE
- SHN.EXE
- SMC.EXE
- SOFI.EXE
- SPF.EXE
- SPHINX.EXE
- SPYXX.EXE
- SS3EDIT.EXE
- ST2.EXE
- SUPFTRL.EXE
- SUPPORTER5.EXE
- SYMPROXYSVC.EXE
- SYS_XP.EXE
- SYSEDIT.EXE
- SYSXP.EXE
- TASKMON.EXE
- TAUMON.EXE
- TAUSCAN.EXE
- TC.EXE
- TCA.EXE
- TCM.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- TDS-3.EXE
- TFAK5.EXE
- TGBOB.EXE
- TITANIN.EXE
- TITANINXP.EXE
- TRACERT.EXE
- TRJSCAN.EXE
- TRJSETUP.EXE
- TROJANTRAP3.EXE
- UNDOBOOT.EXE
- UPDATE.EXE
- VBCMSERV.EXE
- VBCONS.EXE
- VBUST.EXE
- VBWIN9X.EXE
- VBWINNTW.EXE
- VCSETUP.EXE
- VFSETUP.EXE
- VIRUSMDPERSONALFIREWALL.EXE
- VNLAN300.EXE
- VNPC3000.EXE
- VPC42.EXE
- VPFW30S.EXE
- VPTRAY.EXE
- VSCENU6.02D30.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSISETUP.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- VSWIN9XE.EXE
- VSWINNTSE.EXE
- VSWINPERSE.EXE
- W32DSM89.EXE
- W9X.EXE
- WATCHDOG.EXE
- WEBSCANX.EXE
- WGFE95.EXE
- WHOSWATCHINGME.EXE
- WHOSWATCHINGME.EXE
- WINRECON.EXE
- WNT.EXE
- WRADMIN.EXE
- WRCTRL.EXE
- WSBGATE.EXE
- WYVERNWORKSFIREWALL.EXE
- XPF202EN.EXE
- ZAPRO.EXE
- ZAPSETUP3001.EXE
- ZATUTOR.EXE
- ZAUINST.EXE
- ZONALM2601.EXE
- ZONEALARM.EXE
El gusano posee su propio SMTP
(Simple Mail Transfer Protocol) para auto-enviarse
masivamente a los buzones de correo contenidos en los archivos con las extensiones:
- adb
- asp
- cfg
- cgi
- dbx
- dhtm
- eml
- htm
- jsp
- mbx
- mdx
- mht
- mmf
- msg
- nch
- ods
- oft
- php
- pl
- sht
- shtm
- stm
- tbb
- txt
- uin
- wab
- wsh
- xls
- xml
Evitando enviarse a aquellas que tengan las
siguientes cadenas:
- @avp.
- @foo
- @iana
- @messagelab
- @microsoft
- abuse
- admin
- anyone@
- bsd
- bugs@
- cafee
- certific
- contract@
- feste
- free-av
- f-secur
- gold-certs@
- google
- help@
- icrosoft
- info@
- kasp
- linux
- listserv
- local
- news
- nobody@
- noone@
- noreply
- ntivi
- panda
- pgp
- postmaster@
- rating@
- root@
- samples
- sopho
- spam
- support
- unix
- update
- winrar
- winzip
Para propagarse a través de las redes Peer
to Peer revisa las carpetas de descarga que tengan la cadena de texto shar,
que corresponden a Kazaa, BearShare,
eDonkey, Morpheus,
Grokster,
LimeWire., etc. en
caso de estar instaladas, y se copia con los siguientes nombres:
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Kaspersky Antivirus 5.0
- KAV 5.0
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack,
Keygen.exe
- Microsoft Windows XP, WinXP Crack, working
Keygen.exe
- Opera 8 New!.exe
- Porno pics arhive, xxx.exe
- Porno Screensaver.scr
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
Actuando como Backdoor el gusano abre y se conecta
remotamente a través del puerto UDP 1040
(Netartx) y del TCP
1080 (Socks) para recibir comandos del autor del virus intentado además contactar
varios sitios web ubicados en Alemania a los cuales invoca un Script con
extensión PHP, el mismo que no existe:
-
http://abtacha.wirebrain.de
-
http://begros.de
-
http://deepiceman.de
-
http://dfk-crew.clanintern.de
-
http://die-cliquee.de
-
http://edwinf.surfplanet.de
-
http://knecht.cs.uni-magdeburg.de
-
http://login.rz.fh-augsburg.de
-
http://niematec.de
-
http://obechmann.de
-
http://pe-data.de
-
http://people-ftp.freenet.de
-
http://people-ftp.freenet.de
-
http://people-ftp.freenet.de
-
http://ronnyackermann.de
-
http://sgi1.rz.rwth-aachen.de
-
http://symbit.de
-
http://tripod.de
-
http://web154.essen082.server4free.de
-
http://web216.berlin240.server4free.de
-
http://www.aachen.de
-
http://www.abacho.de
-
http://www.anwaltverein.de
-
http://www.aquarius.geomar.de
-
http://www.astronomie.de
-
http://www.atlantis-show.de
-
http://www.atlas-hannover.de
-
http://www.awi-bremerhaven.de
-
http://www.baden-wuerttemberg.de
-
http://www.bayerninfo.de
-
http://www.beck.de
-
http://www.berlinonline.de
-
http://www.bessy.de
-
http://www.bitburger.de
-
http://www.blk-bonn.de/
-
http://www.bmgs.bund.de
-
http://www.brigitte.de
-
http://www.bundesliga.de
-
http://www.calistyler.de
-
http://www.citypopulation.de
-
http://www.dar-fantasy.de
-
http://www.dasding.de
-
http://www.degruyter.de
-
http://www.destatis.de
-
http://www.dortmund.de
-
http://www.duden.de
-
http://www.dwelle.de
-
http://www.empire-show.de
-
http://www.eumetsat.de
-
http://www.europarl.de
-
http://www.expo2000.de
-
http://www.fernuni-hagen.de
-
http://www.finanznachrichten.de
-
http://www.firstgate.de
-
http://www.frankfurt-airport.de
-
http://www.frankfurter-buchmesse.de
-
http://www.freiburg.de
-
http://www.gantke-net.de
-
http://www.gelbeseiten.de
-
http://www.gtz.de
-
http://www.gutenberg2000.de
-
http://www.hannobunz.de
-
http://www.heidelberg.de
-
http://www.helmholtz.de
-
http://www.hosteurope.de
-
http://www.h-p-i.de
-
http://www.immobilienscout24.de
-
http://www.jugendherberge.de
-
http://www.kabel1.de
-
http://www.kalenderblatt.de
-
http://www.karlsruhe.de
-
http://www.king-alp.de
-
http://www.king-alp.de
-
http://www.klug-suchen.de
-
http://www.kompetenznetze.de
-
http://www.kompetenzz.de
-
http://www.krebsinformation.de
-
http://www.lords-of-havoc.de
-
http://www.lufthansa.de
-
http://www.lupo18t.de
-
http://www.mathguide.de
-
http://www.math-net.de
-
http://www.mdirk.de
-
http://www.medicine-worldwide.de
-
http://www.meinestadt.de
-
http://www.messe-duesseldorf.de
-
http://www.messe-muenchen.de
-
http://www.mohr.de
-
http://www.monster.de
-
http://www.munich-airport.de
-
http://www.mupad.de
-
http://www.murczak.de
-
http://www.murczak.de
-
http://www.niedersachsen.de
-
http://www.nuernbergmesse.de
-
http://www.onlinereviewguide.com
-
http://www.pcwelt.de
-
http://www.photokina.de
-
http://www.rapz-records.de
-
http://www.regtp.de
-
http://www.renewables2004.de
-
http://www.ruhr-uni-bochum.de
-
http://www.saarbruecken.de
-
http://www.saarland.de
-
http://www.schaubuehne.de
-
http://www.schulen-ans-netz.de
-
http://www.slowfood.de
-
http://www.staedtetag.de
-
http://www.stellenmarkt.de
-
http://www.stepstone.de
-
http://www.stifterverband.de
-
http://www.stricker-doerpen.de
-
http://www.studentenwerke.de
-
http://www.stufenlos-regelbar.de
-
http://www.stuttgart.de
-
http://www.stuttgarter-zeitung.de
-
http://www.superstar-nord.de
-
http://www.sysserver1.de
-
http://www.szakos.de
-
http://www.szakos.de
-
http://www.testdaf.de
-
http://www.tu-darmstadt.de
-
http://www.tu-dresden.de
-
http://www.tu-muenchen.de
-
http://www.umweltbundesamt.de
-
http://www.uni-bremen.de
-
http://www.unibw-muenchen.de
-
http://www.uni-duesseldorf.de
-
http://www.uni-duisburg-essen.de
-
http://www.uni-frankfurt.de
-
http://www.uni-jena.de
-
http://www.uni-mannheim.de
-
http://www.uni-marburg.de
-
http://www.uni-osnabrueck.de
-
http://www.uni-tuebingen.de
-
http://www.urlaubstage.de
-
http://www.vwschubert.de
-
http://www.webhits.de
-
http://www.wiley-vch.de
-
http://www.wissenschaft-online.de
-
http://zeus05.de
-
http://zille.cs.uni-magdeburg.de
Sus payloads son los
siguientes:
- Se propaga en mensajes de correo con Remitentes falsos, Contenidos y archivos
Anexados de nombres y extensiones aleatorias.
- Usa la técnica Spoofing para disfrazar al Remitente.
- Al ser activado, el gusano crea varios mutex, con el objeto de evitar
ejecutarse en memoria más de una vez y terminar la ejecucíon de las
variantes del gusano Netsky.
- Termina los procesos de antivirus, firewalls y software de control.
- Posee su propio SMTP (Simple Mail Transfer Protocol) y se
auto-envía haciendo uso de direcciones de correo extraídas de archivos de
ciertas extensiones.
- Evita enviarse a buzones de correo con determinadas cadenas.
- Para propagarse a través de las redes Peer to Peer revisa las carpetas de
descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare,
eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, y
se copia con diversos atractivos nombres de archivos.
- Actuando como backdoor el gusano abre y se conecta
remotamente a través del puerto UDP 1040 (Netartx) y del TCP 1080 (Socks) para recibir comandos del autor del virus.
- Intenta conectarse a diversos sitios web ubicados en Alemania tratando de ejecutar
un Script .PHP inexistente.
PER ANTIVIRUS® versión
8.7 y 8.8 con
registro de virus al 20 de Julio del 2004 detecta y elimina
eficientemente este gusano/backdoor.
