|
W32/Bagle.AX@mm, W32/Beagle.AX@mm, W32/Bagle.AW@mm, W32/Beagle.AW@mm
Bagle.AX es un gusano/backdoor de origen alemán, reportado el 18 de Noviembre del 2004, de alta propagación masiva en mensajes de correo con falsos Remitentes, Asuntos, Contenidos y archivos Anexados de nombres aleatorios y diversas extensiones.También se difunde vía redes Peer to Peer. Termina los procesos de antivirus, firewalls y software de control, descarga códigos malignos de dos sitios en la web (actualmente clausurados) y controla los sistemas en forma remota. Borra diversos valores de llaves de registro creadas por las variantes del gusano Netsky.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 17 KB y comprimido con el utilitario FSG:
http://www.exetools.com/compressors.htm
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Email Spoofing con direcciones falsas.
Asunto, uno de los siguientes:
Contenido, uno de los siguientes:
Si el archivo anexado es un ZIP, en forma aleatoria el gusano agrega una de las siguientes cadenas de texto:
Anexado, uno de los siguientes nombres:
Aleatoriamente puede tener cualquiera de estas extensiones:
Al ser activado el gusano muestra la siguiente falsa caja de diálogo:
Sin intervención del usuario crea el siguiente mutex (Exclusión Mutua) para evitar ser ejecutado en memoria más de una vez y para detener la ejecución de variantes del gusano Netsky, en caso existiesen:
|MuXxXxTENYKSDesignedAsTheFollowerOf
Skynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-
|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Luego se copia a la carpeta %System% con el nombre de Sysinit.exe liberando los siguientes archivos:
Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Syskey" = "%System%\Sysinit.exe"
Al siguiente re-inicio el gusano se activa en memoria y termina los procesos asociados a los siguientes archivos o procesos de otros gusanos:
El gusano borra los siguientes valores creados por variantes del gusano Netsky:
de las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:
Evitando enviarse a aquellas que tengan las siguientes cadenas:
Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, y se copia con los siguientes nombres:
Actuando como Backdoor el gusano abre el puerto TCP 2002 a través del cual recibe instrucciones desde un servidor remoto desde el cual intenta descargar un código maligno y actúa además como servidor intermediario de correo (mail Relay).
En su código viral se puede leer:
|
In a difficult world In a nameless time I want to survive So, you will be mine!! -- Bagle Author, 29.04.04, Germany. |
PER ANTIVIRUS® versión 8.8 y 9.0 con registro de virus al 18 de Noviembre del 2004 detectan y eliminan eficientemente este gusano/backdoor.
