Bagle.B

BAGLE.B, gusano/backdoor de Correo de propagación masiva, recibe comandos vía puerto TCP, etc.

W32/Bagle.B@mm, Backdoor/Beagle.B, W32/Tanx-A, W32/Au.A

Bagle.B es un gusano reportado el 17 de Febrero del 2004, de alta propagación masiva a través de mensajes de correo con un archivo Anexado de 7 caracteres aleatorios, con la extensión .EXE.

Abre un componente Backdoor que le permite recibir comandos del autor a través del puerto TCP 8866 y se conecta a varias direcciones URL ubicadas en Alemania, intentando ocasionar una Negación de Servicio DoS.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con 11 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes.

El mensaje tiene las siguientes características:

Asunto: ID [6_caracteres_aleatorios]... thanks
Remitente: [caracteres_aleatorios]@dominio_falso
Contenido: Yours ID [9_caracteres_aleatorios]
--
Thank
Anexado: [7_caracteres_aleatorios].EXE

Al ser activado el gusano verifica la fecha del sistema y si es 25 de Febrero o superior, no realiza ningún proceso de infección, de lo contrario el ejecuta el archivo Sndrec32.exe mostrando en pantalla:

Luego se copia a la carpeta %System% con el nombre de au.exe y para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Au.exe" = "%System%\au.exe"

Crea además las siguientes dos llaves:

[HKEY_CURRENT_USER\Software\Windows2000 "frn" = "1"
[HKEY_CURRENT_USER\Software\Windows2000 "gid" = "[valor_aleatorio]"

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:

wab
txt
htm
html

Actuando como Backdoor el gusano se conecta remotamente a través del puerto TCP 8866 (no asignado) para recibir comandos del autor del virus y envía peticiones HTTP GET a través del puerto 80 (HTTP) intentando ocasionar una Negación de Servicio, a los siguientes sitios web (ubicados en Alemania):

www.47df.de/wbboard/1.php
www.strato.de/1.php
www.strato.de/2.php
www.intern.games-ring.de/2.php

Sus payloads son los siguientes:

Se propaga en mensajes de correo, con un archivo de nombre aleatorio, con la extensión .EXE
Usa la técnica Spoofing para disfrazar al Remitente.
Los Asuntos, Contenidos y Anexados usan caracteres aleatorios.
Al ser activado, el gusano ejecuta el grabador de sonidos de Windows mientras se copia a la carpeta %System% y genera diversas llaves de registro.
Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía haciendo uso de las direcciones de correo extraídas de archivos de ciertas extensiones.
Actuando como backdoor el gusano se conecta remotamente a través del puerto TCP 8866 para recibir comandos del autor del virus.
Se conecta a varios sitios web ubicados en Alemania intentando ocasionar una Negación de Servicio.

PER ANTIVIRUS® versión 8.5 con registro de virus al 17 de Febrero del 2004 detecta y elimina eficientemente este gusano/backdoor.