W32/Bagle.BD@mm, I.worm.Bagle.BD@mm, W32/Beagle.BD@mm

Bagle.BD es un gusano residente en memoria variante de la familia Bagle, reportado el 26 de Julio del 2005 de propagación masiva a través de mensajes de correo con uno de dos archivos de nombre definido. Intenta enviarse usando un servidor SMTP de Rusia, en caso fallase, emplea su propio motor de envío o invoca a un servidor Exchange o finalmente usa un IP de Alemania. Su componente Troyano le permite propagarse además vía puertos TCP aleatorios.

Abre un componente Backdoor se conecta al puerto TCP 80 y configura el sistema infectado como un servidor web. Descarga el archivo RE_FILE.EXE a otros servidores y lo ejecuta en memoria.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 12 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El mensaje tiene las siguientes características: 

Remitente: emplea la técnica Spoofing que disfraza las direcciones.
Asunto: Foto
Contenido, uno de los siguientes:

• Foto
• Pass - [contraseña del anexado]
• Password - [contraseña del anexado]
• Password: [contraseña del anexado]
• The password is [contraseña del anexado]

Anexado, uno de dos:

• Foto.zip
• fotos.zip

El gusano captura los buzones de correo de la Libreta de Direcciones Windows (WAB) y usa el servidor SMTP (Simple Mail Transfer Protocol) smtp.mail.ru para su rutina de envío masivo.

En caso fallase, emplea su propio motor SMTP o invoca al Servidor Exchange MX y de no estar disponible usa el servidor con la dirección IP 217.5.97.137 (Deutsche Telekom AG-Alemania).

Evita enviarse a las direcciones que tengan las siguientes cadenas:

• @avp.
• @derewrdgrs
• @eerswqe
• @iana
• @messagelab
• @microsoft
• abuse
• admin
• anyone@
• bugs@
• cafee
• certific
• contract@
• feste
• free-av
• f-secur
• gold-certs@
• google
• help@
• icrosoft
• info@
• linux
• listserv
• local
• nobody@
• noone@
• noreply
• ntivi
• panda
• postmaster@
• rating@
• root@
• samples
• sopho
• support
• update
• winrar
• winzip

Al ser activado para evitar ser ejecutado en memoria más de una vez e impedir la ejecución de algunas variantes del gusano Netsky, crea el mutex (Exclusión Mutua):

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Luego see copia a la carpeta %System% con el nombre de windll.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erthgdr" = "%System%\windll.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erthgdr" = "%System%\windll.exe"

Al siguiente inicio el gusano borra los siguientes valores de las llaves de auto-ejecución del sistema:

• ICQ Net
• My AV

Intenta descargar de un sitio web el archivo EML.EXE que es una variante del gusano Bagle.

Actuando como Backdoor se conecta al puerto TCP 80 y configura el sistema infectado como un servidor web. También permite a los intrusos descargar el archivo RE_FILE.EXE a otros sistemas usando puertos que se encuentren abiertos, elegidos aleatoriamente y auto-ejecutarlo en memoria.