|
BAGLE.AZ gusano/backdoor de Correo y Peer to Peer residente en memoria con múltiples efectos nocivos.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Bagle.AZ@mm, W32/Beagle.AZ@mm
Bagle.AZ es un gusano/backdoor, residente en memoria reportado el 28 de Enero del 2005, de propagación masiva en mensajes de correo con falsos remitentes, asuntos, contenidos y archivos anexados de nombres aleatorios
y diversas extensiones.
También se difunde vía redes Peer to Peer. Termina los procesos de antivirus, firewalls y software de control, descarga un Backdoor de diversos sitios en la web que permiten a un intruso controlar los sistemas en forma remota.
En Windows 95/98/me manipula una API y en Windows 2000/XP el Administrador de Tareas para evitar su ejecución en memoria.
Aleatoriamente entra en una ejecución infinita (loop) en intervalos de 100 milisegundos, con el propósito de evitar ser eliminado al estar activo en la memoria.
Borra valores de llaves de registro creadas por las variantes del gusano Netsky.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 19 KB y comprimido con el utilitario PeX:
http://xtreeme.prv.pl/
Posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:
- adb
- asp
- cfg
- cgi
- dbx
- dhtm
- eml
- htm
- jsp
- mbx
- mdx
- mht
- mmf
- msg
- nch
- ods
- oft
- php
- pl
- sht
- shtm
- stm
- tbb
- txt
- uin
- wab
- wsh
- xls
- xml
Evitando enviarse a aquellos que tengan las siguientes cadenas:
- @avp.
- @foo
- @iana
- @messagelab
- @microsoft
- abuse
- admin
- anyone@
- bsd
- bugs@
- cafee
- certific
- contract@
- feste
- free-av
- f-secur
- gold-certs@
- google
- help@
- icrosoft
- info@
- kasp
- linux
- listserv
- local
- news
- nobody@
- noone@
- noreply
- ntivi
- panda
- pgp
- postmaster@
- rating@
- root@
- samples
- sopho
- spam
- support
- unix
- update
- winrar
- winzip
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Email Spoofing con direcciones falsas.
Asunto, uno de los siguientes:
- Delivery service mail
- Delivery by mail
- Registration is accepted
- Is delivered mail
- You are made active
Contenido, uno de los siguientes:
- Before use read the help
- Thanks for use of our software.
Anexado, uno de los siguientes nombres:
- guupd02
- Jol03
- siupd02
- upd02
- viupd02
- wsd01
- zupd02
Las extensiones pueden ser:
Crea los siguientes mutex (Exclusión Mutua) para evitar ser activado en memoria más de una vez y para detener la ejecución de variantes del gusano Netsky, en caso existiesen:
- |MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
luego se copia a la carpeta %System% con los nombres:
- sysformat.exe
- sysformat.exeopen
- sysformat.exeopenopen
Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sysformat" = "%System%\sysformat.exe"
crea además la llave:
HKEY_CURRENT_USER\Software\Microsoft\Params
"Riga" = "[información_de_la_fecha_de_primera_ejecución]"
para determinar el tiempo de ejecución en un sistema infectado y en caso de ejecutarse después de 25 días de su primera activación, el gusano se auto-desinstalará.
también tiene una rutina de desactivación para el 25 de Abril del 2006 o fecha posterior.
En Windows 95/98/Me manipula el API RegisterService para permanecer en memoria bajo cualquier instancia.
En Windows 2000/XP modifica los derechos de control de acceso o privilegios en su proceso, impidiendo que a través de la Administración de Tareas no se pueda terminar con su proceso de activación en memoria.
también libera una copia de sí mismo con el nombre de CJECTOR.EXE dentro de la carpeta donde se ejecute cualquier archivo con extensión .CPL (Panel de Control).
Al siguiente re-inicio el gusano se activa en memoria y termina los procesos de los siguientes antivirus, firewalls y archivos de control:
- APVXDWIN.EXE
- ATUPDATER.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- Avconsol.exe
- AVENGINE.EXE
- AVPUPD.EXE
- Avsynmgr.exe
- AVWUPD32.EXE
- AVXQUAR.EXE
- bawindo.exe
- blackd.exe
- ccApp.exe
- ccEvtMgr.exe
- ccProxy.exe
- ccPxySvc.exe
- CFIAUDIT.EXE
- DefWatch.exe
- DRWEBUPW.EXE
- ESCANH95.EXE
- ESCANHNT.EXE
- FIREWALL.EXE
- FrameworkService.exe
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- LUALL.EXE
- LUCOMS~1.EXE
- mcagent.exe
- mcshield.exe
- MCUPDATE.EXE
- mcvsescn.exe
- mcvsrte.exe
- mcvsshld.exe
- navapsvc.exe
- navapw32.exe
- NISUM.EXE
- nopdb.exe
- NPROTECT.EXE
- NUPGRADE.EXE
- OUTPOST.EXE
- PavFires.exe
- pavProxy.exe
- pavsrv50.exe
- Rtvscan.exe
- RuLaunch.exe
- SAVScan.exe
- SHSTAT.EXE
- SNDSrvc.exe
- symlcsvc.exe
- UPDATE.EXE
- UpdaterUI.exe
- Vshwin32.exe
- VsStat.exe
- VsTskMgr.exe
aleatoriamente entrar en una ejecución infinita (loop) en intervalos de 100 milisegundos, con el propósito de evitar ser eliminado al estar activo en la memoria.
luego borra las siguientes llaves de registro asociadas al variantes del gusano Neysky:
[HKEY_CURRENT_USER\Software\Microsoft Windows\CurrentVersion\Run]
My AV
[HKEY_LOCAL_MACHINE\Software\Microsoft Windows\CurrentVersion\Run]
ICQ Net
Para propagarse a través de las redes Peer to Peer revisa las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare,
eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar
instaladas, se copia a las mismas con los siguientes nombres:
- 1.exe
- 2.exe
- 3.exe
- 4.exe
- 5.scr
- 6.exe
- 7.exe
- 8.exe
- 9.exe
- 10.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
El gusano intenta conectarse a uno de los siguientes dominios:
- www.24-7-transportation.com
- www.DarrkSydebaby.com
- www.FritoPie.NET
- www.adhdtests.com
- www.aegee.org
- www.aimcenter.net
- www.alupass.lu
- www.amanit.ru
- www.andara.com
- www.angelartsanctuary.com
- www.anthonyflanagan.com
- www.approved1stmortgage.com
- www.argontech.net
- www.asianfestival.nl
- www.atlantisteste.hpg.com.br
- www.aviation-center.de
- www.bbsh.org
- www.bga-gsm.ru
- www.boneheadmusic.com
- www.bottombouncer.com
- www.bradster.com
- www.buddyboymusic.com
- www.bueroservice-it.de
- www.calderwoodinn.com
- www.capri-frames.de
- www.celula.com.mx
- www.ceskyhosting.cz
- www.chinasenfa.com
- www.cntv.info
- www.compsolutionstore.com
- www.coolfreepages.com
- www.corpsite.com
- www.couponcapital.net
- www.cpc.adv.br
- www.crystalrose.ca
- www.cscliberec.cz
- www.curtmarsh.com
- www.customloyal.com
- www.deadrobot.com
- www.dontbeaweekendparent.com
- www.dragcar.com
- www.ecofotos.com.br
- www.elenalazar.com
- www.ellarouge.com.au
- www.esperanzaparalafamilia.com
- www.eurostavba.sk
- www.everett.wednet.edu
- www.fcpages.com
- www.featech.com
- www.fepese.ufsc.br
- www.firstnightoceancounty.org
- www.flashcorp.com
- www.fleigutaetscher.ch
- www.fludir.is
- www.freeservers.com
- www.gamp.pl
- www.gci-bln.de
- www.gcnet.ru
- www.generationnow.net
- www.gfn.org
- www.giantrevenue.com
- www.glass.la
- www.handsforhealth.com
- www.hartacorporation.com
- www.himpsi.org
- www.idb-group.net
- www.immonaut.sk
- www.ims-i.com
- www.innnewport.com
- www.irakli.org
- www.irinaswelt.de
- www.jansenboiler.com
- www.jasnet.pl
- www.jhaforpresident.7p.com
- www.jimvann.com
- www.jldr.ca
- www.justrepublicans.com
- www.kencorbett.com
- www.knicks.nl
- www.kps4parents.com
- www.kradtraining.de
- www.kranenberg.de
- www.lasermach.com
- www.leonhendrix.com
- www.magicbottle.com.tw
- www.mass-i.kiev.ua
- www.mepbisu.de
- www.mepmh.de
- www.metal.pl
- www.mexis.com
- www.mongolische-renner.de
- www.mtfdesign.com
- www.oboe-online.com
- www.ohiolimo.com
- www.onepositiveplace.org
- www.oohlala-kirkland.com
- www.orari.net
- www.pankration.com
- www.pe-sh.com
- www.pfadfinder-leobersdorf.com
- www.pipni.cz
- www.polizeimotorrad.de
- www.programmierung2000.de
- www.pyrlandia-boogie.pl
- www.raecoinc.com
- www.realgps.com
- www.redlightpictures.com
- www.reliance-yachts.com
- www.relocationflorida.com
- www.rentalstation.com
- www.rieraquadros.com.br
- www.scanex-medical.fi
- www.sea.bz.it
- www.selu.edu
- www.sigi.lu
- www.sljinc.com
- www.smacgreetings.com
- www.soloconsulting.com
- www.spadochron.pl
- www.srg-neuburg.de
- www.ssmifc.ca
- www.sugardas.lt
- www.sunassetholdings.com
- www.szantomierz.art.pl
- www.the-fabulous-lions.de
- www.tivogoddess.com
- www.tkd2xcell.com
- www.topko.sk
- www.transportation.gov.bh
- www.travelchronic.de
- www.traverse.com
- www.uhcc.com
- www.ulpiano.org
- www.uslungiarue.it
- www.vandermost.de
- www.vbw.info
- www.velezcourtesymanagement.com
- www.velocityprint.com
- www.vikingpc.pl
- www.vinirforge.com
- www.wecompete.com
- www.worest.com.ar
- www.woundedshepherds.com
- www.wwwebad.com
- www.wwwebmaster.com
para descargar un archivo, el mismo que se auto-copia a la carpeta %System% con el nombre de re_file.exe y actuará como Backdoor vía el puerto TCP 81 a través del cual enviará información
del sistema y recibirá y ejecutará comandos en forma remota.
finalmente intenta conectarse a la dirección IP 17.5.97.137 (actualmente desactivada) perteneciente al servidor de Apple Computer Inc., ubicado en Asia, con el objeto de ejecutar peticiones DNS.
PER ANTIVIRUS® versión 9.0 y 9.1 con registro de virus al 28 de Enero del 2005 detecta y elimina eficientemente este gusano/backdoor.
