W32/Bagle.AQ@mm, W32/Beagle.AC@mm, W32/Bagle.AO@mm, Backdoor/Bagle.AQ@mm

Bagle.AQ es un gusano/backdor residente en memoria variante de la familia Bagle, reportado el 10 de Agosto del 2004, de alta propagación masiva en mensajes de correo con falsos Remitentes, sin Asunto y archivos Anexados de nombres aleatorios con extensiones ZIP. También se difunde vía redes Peer to Peer. Termina los procesos de antivirus, firewalls y software de control, asi como de variantes de otros gusanos.

El archivo con formato .ZIP contiene un archivo del mismo nombre, con extensión .EXE y otro con .HTML y libera un componente Backdoor, el cual a través de los puertos TCP y UDP 2480 (Deatlle de Lingwood) establece contacto con el autor del virus y recibe comandos en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 19 KB y comprimido con el utilitario PeX:

http://protools.anticrack.de/packers.htm

El mensaje tiene las siguientes características: 

Remitente: emplea la técnica Email Spoofing con direcciones falsas.
Asunto: [en blanco]

Contenido: new price 

Anexado, uno de los siguientes nombres:

• price.zip
• price2.zip
• price_new.zip
• price_08.zip
• 08_price.zip
• newprice.zip
• new_price.zip
• new__price.zip

Debido a un error de programación, aleatoriamente si el archivo está protegido con una contraseña, la misma no funciona y trunca su ejecución.

Al ser activado el gusano crea uno de los siguientes mutex (Exclusión Mutua) para evitar ser ejecutado en memoria más de una vez y para detener la ejecución de variantes del gusano Netsky, en caso existiesen:

'D'r'o'p'p'e'd'S'k'y'N'e't' 
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ 
[SkyNet.cz]SystemsMutex 
AdmSkynetJklS003 
____--->>>>U<<<<--____ 
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Luego se copia a la carpeta %System% con el nombre de Widll.exe y libera los siguientes archivos:

• windll.exeopen
• windll.exeopenopen

Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"erthgdr" = "%System%\windll.exe" 

Al siguiente re-inicio el gusano se activa en memoria y termina los procesos asociados a los siguientes archivos o procesos de otros gusanos:

• FIREWALL.EXE
• ATUPDATER.EXE
• winxp.exe
• sys_xp.exe
• sysxp.exe
• LUALL.EXE
• DRWEBUPW.EXE
• AUTODOWN.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• ESCANH95.EXE
• AVXQUAR.EXE
• ESCANHNT.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVXQUAR.EXE
• AVWUPD32.EXE
• AVPUPD.EXE
• CFIAUDIT.EXE
• UPDATE.EXE
• NUPGRADE.EXE
• MCUPDATE.EXE

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:

• wab
• txt
• msg
• htm
• shtm
• stm
• xml
• dbx
• mbx
• mdx
• eml
• nch
• mmf
• ods
• cfg
• asp
• php
• pl
• wsh
• adb
• tbb
• sht
• xls
• oft
• uin
• cgi
• mht
• dhtm
• jsp

Evitando enviarse a aquellas que tengan las siguientes cadenas:

• @eerswqe
• @derewrdgrs
• @microsoft
• rating@
• f-secur
• news
• update
• anyone@
• bugs@
• contract@
• feste
• gold-certs@
• help@
• info@
• nobody@
• noone@
• kasp
• admin
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• certific
• sopho
• @foo
• @iana
• free-av
• @messagelab
• winzip
• google
• winrar
• samples
• abuse
• panda
• cafee
• spam
• pgp
• @avp.
• noreply
• local
• root@
• postmaster@ 

Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, y se copia con los siguientes nombres:

• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Windows XP, WinXP Crack, working Keygen.exe
• Microsoft Office XP working Crack, Keygen.exe
• Porno, sex, oral, anal cool, awesome!!.exe
• Porno Screensaver.scr
• Serials.txt.exe
• KAV 5.0
• Kaspersky Antivirus 5.0
• Porno pics arhive
• xxx.exe
• Windows Sourcecode update.doc.exe
• Ahead Nero 7.exe
• Windown Longhorn Beta Leak.exe
• Opera 8 New!.exe
• XXX hardcore images.exe
• WinAmp 6 New!.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• Adobe Photoshop 9 full.exe
• Matrix 3 Revolution English Subtitles.exe
• ACDSee 9.exe
• Process Killing

Actuando como Backdoor el gusano abre y se conecta remotamente a través puertos TCP y UDP 2480 para recibir comandos del autor del virus intentado además conectarse a inumerables sitios web (muchos de ellos inválidos) para descargar un código mailigno, que aparentemente no existe.

Sus payloads son los siguientes:

• Se propaga en mensajes de correo con Remitentes falsos, sin Contenidos y archivos Anexados de nombres aleatorias, con extensión .ZIP el cual contiene un archivo EXE y otro HTML 
• Usa la técnica Spoofing para disfrazar al Remitente.
• Al ser activado el gusano crea un mutex con el objeto de evitar ejecutarse en memoria más de una vez.
• Termina los procesos de antivirus, firewalls y software de control.
• Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía haciendo uso de direcciones de correo extraídas de archivos de ciertas extensiones.
• Evita enviarse a buzones de correo con determinadas cadenas.
• Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, y se copia con diversos atractivos nombres de archivos.   
• Actuando como backdoor el gusano abre y se conecta remotamente a través de los puertos TCP y UDP 2480 para recibir comandos del autor del virus.
• Intenta conectarse a diversos sitios web tratando de descargar un código maligno.