BAGLE.AR, gusano/backdoor de Correo
y P2P de
propagación masiva, recibe comandos vía puerto TCP, etc. |
© Jorge
Machado Lima-Perú |
|
W32/Bagle.AR@mm,
W32/Beagle.AR@mm, W32/Bagle.AZ@mm, Backdoor/Beagle.AS@mm
 |
|
Bagle.AR es un gusano residente en memoria variante de la familia
Bagle, reportado el 29 de
Septiembre del
2004 de alta
propagación masiva a través de mensajes de correo con archivos de nombres aleatorios con las
extensiones .EXE, .COM, .CPL
o .SCR. Además se difunde a la mayoría de redes de
compartimiento de archivos Peer to Peer.
Abre un componente Backdoor que le permite recibir
comandos del autor a través de los puertos TCP
y UDP 81
y controlar los sistemas en forma remota. |
Es un PE (Portable Ejecutable)
e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual
C++ con una extensión variable y comprimido con el utilitario
UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Spoofing
que disfraza las direcciones.
Asunto, elegido aleatoriamente de:
- Re:
- Re: Hello
- Re: Hi
- Re: Thank you!
- Re: Thanks :)
Contenido, uno de los dos:
Anexado, uno de los siguientes archivos:
con cualquiera de las extensiones .exe, .com, .cpl,
o .scr
El gusano posee su propio SMTP
(Simple Mail Transfer Protocol) para auto-enviarse
masivamente a los buzones de correo contenidos en los archivos con las extensiones:
- adb
- asp
- cfg
- cgi
- dbx
- dhtm
- eml
- htm
- jsp
- mbx
- mdx
- mht
- mmf
- msg
- nch
- ods
- oft
- php
- pl
- sht
- shtm
- stm
- tbb
- txt
- uin
- wab
- wsh
- xls
- xml
evita enviarse a direcciones con las siguientes cadenas:
- @avp.
- @foo
- @hotmail
- @iana
- @messagelab
- @microsoft
- @msn
- abuse
- admin
- anyone@
- bsd
- bugs@
- cafee
- certific
- contract@
- f-secur
- feste
- free-av
- gold-certs@
- google
- help@
- icrosoft
- info@
- kasp
- linux
- listserv
- local
- news
- nobody@
- noone@
- noreply
- ntivi
- panda
- pgp
- postmaster@
- rating@
- root@
- samples
- sopho
- spam
- support
- unix
- update
- winrar
- winzip
Al ser activado para evitar
ser ejecutado en memoria más de una vez y para impedir la ejecución de algunas
variantes del gusano Netsky, el gusano crea los mutex (Exclusión
Mutua):
- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Luego see copia a la carpeta %System%
con los nombres:
- bawindo.exe
- re_file.exe
- bawindo.exeopen [copia del gusano con
cadenas aleatorias agregables]
- bawindo.exeopenopen [copia del gusano con
cadenas aleatorias agregables]
para ejecutarse la próxima
vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"bawindo" =
"%System%\bawindo.exe"
Al siguiente re-inicio el gusano se activa en
memoria y termina los siguientes procesos:
- alogserv.exe
- APVXDWIN.EXE
- ATUPDATER.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- Avconsol.exe
- AVENGINE.EXE
- AVPUPD.EXE
- Avsynmgr.exe
- AVWUPD32.EXE
- AVXQUAR.EXE
- blackd.exe
- ccApp.exe
- ccEvtMgr.exe
- ccProxy.exe
- ccPxySvc.exe
- CFIAUDIT.EXE
- DefWatch.exe
- DRWEBUPW.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- FIREWALL.EXE
- FrameworkService.exe
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- LUALL.EXE
- LUCOMS~1.EXE
- mcagent.exe
- mcshield.exe
- MCUPDATE.EXE
- mcvsescn.exe
- mcvsrte.exe
- mcvsshld.exe
- navapsvc.exe
- navapw32.exe
- NISUM.EXE
- nopdb.exe
- NPROTECT.EXE
- NUPGRADE.EXE
- OUTPOST.EXE
- PavFires.exe
- pavProxy.exe
- pavsrv50.exe
- Rtvscan.exe
- RuLaunch.exe
- SAVScan.exe
- SHSTAT.EXE
- SNDSrvc.exe
- symlcsvc.exe
- UPDATE.EXE
- UpdaterUI.exe
- Vshwin32.exe
- VsStat.exe
- VsTskMgr.exe
Luego borra los siguientes valores:
- 9XHtProtect
- Antivirus
- EasyAV
- FirewallSvr
- HtProtect
- ICQ Net
- ICQNet
- Jammer2nd
- KasperskyAVEng
- MsInfo
- My AV
- NetDy
- Norton Antivirus AV
- PandaAVEngine
- SkynetsRevenge
- Special Firewall Service
- SysMonXP
- Tiny AV
- Zone Labs Client Ex
- service
de las llaves de registro:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Para propagarse a través de las redes Peer
to Peer se copia a las carpetas de descarga que tengan la cadena de
texto shar, que corresponden a Kazaa, BearShare,
eDonkey, Morpheus,
Grokster,
LimeWire., etc. en
caso de estar instaladas, con los siguientes nombres:
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Microsoft Office XP working Crack, Keygen.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
Actuando como Backdoor se conecta a través de los puertos
TCP y UDP
81 y recibe instrucciones del autor del virus quien podrá ejecutar
comandos o tomar control en forma remota de los sistemas infectados.
Intenta
descargar un archivo inexistente de los siguientes sitios en la web:
- www.24-7-transportation.com
- www.DarrkSydebaby.com
- www.FritoPie.NET
- www.adhdtests.com
- www.aegee.org
- www.aimcenter.net
- www.alupass.lu
- www.amanit.ru
- www.andara.com
- www.angelartsanctuary.com
- www.anthonyflanagan.com
- www.approved1stmortgage.com
- www.argontech.net
- www.asianfestival.nl
- www.atlantisteste.hpg.com.br
- www.aviation-center.de
- www.bbsh.org
- www.bga-gsm.ru
- www.boneheadmusic.com
- www.bottombouncer.com
- www.bradster.com
- www.buddyboymusic.com
- www.bueroservice-it.de
- www.calderwoodinn.com
- www.capri-frames.de
- www.celula.com.mx
- www.ceskyhosting.cz
- www.chinasenfa.com
- www.cntv.info
- www.compsolutionstore.com
- www.coolfreepages.com
- www.corpsite.com
- www.couponcapital.net
- www.cpc.adv.br
- www.crystalrose.ca
- www.crystalrose.ca
- www.cscliberec.cz
- www.curtmarsh.com
- www.customloyal.com
- www.deadrobot.com
- www.dontbeaweekendparent.com
- www.dragcar.com
- www.ecofotos.com.br
- www.elenalazar.com
- www.ellarouge.com.au
- www.esperanzaparalafamilia.com
- www.eurostavba.sk
- www.everett.wednet.edu
- www.fcpages.com
- www.featech.com
- www.fepese.ufsc.br
- www.firstnightoceancounty.org
- www.flashcorp.com
- www.fleigutaetscher.ch
- www.fludir.is
- www.freeservers.com
- www.gamp.pl
- www.gci-bln.de
- www.gcnet.ru
- www.generationnow.net
- www.gfn.org
- www.giantrevenue.com
- www.glass.la
- www.handsforhealth.com
- www.hartacorporation.com
- www.himpsi.org
- www.idb-group.net
- www.immonaut.sk
- www.ims-i.com
- www.innnewport.com
- www.irakli.org
- www.irinaswelt.de
- www.jansenboiler.com
- www.jasnet.pl
- www.jhaforpresident.7p.com
- www.jimvann.com
- www.jldr.ca
- www.justrepublicans.com
- www.kencorbett.com
- www.knicks.nl
- www.kps4parents.com
- www.kradtraining.de
- www.kranenberg.de
- www.lasermach.com
- www.leonhendrix.com
- www.magicbottle.com.tw
- www.mass-i.kiev.ua
- www.mepbisu.de
- www.mepmh.de
- www.metal.pl
- www.mexis.com
- www.mongolische-renner.de
- www.mtfdesign.com
- www.oboe-online.com
- www.ohiolimo.com
- www.onepositiveplace.org
- www.oohlala-kirkland.com
- www.orari.net
- www.pankration.com
- www.pe-sh.com
- www.pfadfinder-leobersdorf.com
- www.pipni.cz
- www.polizeimotorrad.de
- www.programmierung2000.de
- www.pyrlandia-boogie.pl
- www.raecoinc.com
- www.realgps.com
- www.redlightpictures.com
- www.reliance-yachts.com
- www.relocationflorida.com
- www.rentalstation.com
- www.rieraquadros.com.br
- www.scanex-medical.fi
- www.sea.bz.it
- www.selu.edu
- www.sigi.lu
- www.sljinc.com
- www.smacgreetings.com
- www.soloconsulting.com
- www.spadochron.pl
- www.srg-neuburg.de
- www.ssmifc.ca
- www.sugardas.lt
- www.sunassetholdings.com
- www.szantomierz.art.pl
- www.the-fabulous-lions.de
- www.tivogoddess.com
- www.tkd2xcell.com
- www.topko.sk
- www.transportation.gov.bh
- www.travelchronic.de
- www.traverse.com
- www.uhcc.com
- www.ulpiano.org
- www.uslungiarue.it
- www.vandermost.de
- www.vbw.info
- www.velezcourtesymanagement.com
- www.velocityprint.com
- www.vikingpc.pl
- www.vinirforge.com
- www.wecompete.com
- www.worest.com.ar
- www.woundedshepherds.com
- www.wwwebad.com
- www.wwwebmaster.com
Si bien no logra su cometido, estas rutinas
causan conflictos en el funcionamiento de los equipos y lentitud en la
ejecución de sus procesos.
Sus payloads son los
siguientes:
- Se propaga en mensajes de correo, con archivos de nombres aleatorios con las
extensiones .EXE .COM, .CPL o .SCR
- Posee su propio SMTP (Simple Mail Transfer Protocol) y se
auto-envía haciendo uso de direcciones de correo extraídas de archivos de
ciertas extensiones.
- Evita enviarse a buzones de correo con determinadas cadenas.
- Usa la técnica Spoofing que disfraza a los Remitentes.
- Los Asuntos y archivos Anexados son elegidos aleatoriamente.
- Al ser activado, el gusano crea varios mutex para evitar ser activado más
de una vez e impedir la ejecución de variantes del gusano Netsky.
- También se difunde a través de las redes Peer to Peer cuyos software se
encuentren instalados en los sistemas infectados.
- Actuando como backdoor se conecta a través de los puertos TCP y UDP 81
para recibir comandos del autor del virus.
- Intenta descargar un archivo inexistente desde una larga relación de
direcciones web.
- Estas rutinas
causan conflictos en el funcionamiento de los equipos y lentitud en la
ejecución de sus procesos.
PER ANTIVIRUS®
versiones 8.8 y 8.9 con
registro de virus al 29 de Septiembre del 2004 detectan y eliminan
eficientemente este gusano/backdoor.
