Bagle.BM

BAGLE.BM gusano/backdoor de Correo y P2P deshabilita antivirus, recibe comandos vía puerto TCP, etc.

W32/Bagle.BM@mm, W32/Bagle.CB@mm, W32/Beagle.BY@mm

Bagle.BM es un gusano residente en memoria variante de la familia Bagle, reportado el 05 de Agosto del 2005 de alta propagación masiva a través de mensajes de correo con archivos de nombres aleatorios y extensiones .EXE, y .ZIP.

Deshabilita antivirus, Firewalls y software de Control y Seguridad. Además se difunde vía la mayoría de redes de compartimiento de archivos Peer to Peer.

Abre un componente Backdoor a través del puerto TCP 9030 para recibir órdenes y ejecutar comandos del autor o intrusos, en forma remota en los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está escrito en MS Visual C++ con 21 KB de extensión y comprimido con el utilitario FGS:

http://www.exetools.com/

Posee su propio SMTP (Simple Mail Transfer Protocol) captura y se envía a los buzones de correo de la Libreta de Direcciones de Windows o las contenidas en archivos con las siguientes extensiones:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

evitando enviarse a aquellas direcciones que tengan las siguientes cadenas:

@avp.
@foo
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
norton
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
virus
winrar
winzip

El mensaje tiene las siguientes características:

Remitente: una de las direcciones extraídas del sistema o direcciones falsas usando la técnica Spoofing.

Asunto, elegido aleatoriamente de uno de los siguientes:

Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Pass - {Random characters}
Password - {Random characters}
Password: {Random characters}
Protected message
Re:
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update

Contenido, uno de los siguientes:

Archive password: [imágen] Attach tells everything. Attached file is protected with the password for security reasons. Password is [imágen] Attached file tells everything. Check attached file for details. Check attached file. For security purposes the attached file is password protected. Password -- [imágen] For security reasons attached file is password protected. The password is [imágen] Here is the file. In order to read the attach you have to use the following password: [imágen] Message is in attach More info is in attach Note: Use password [imágen] to open archive. Password - [imágen] Password: [imágen] Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Try this. Your document is attached. Your file is attached.

Anexado, uno de los siguientes nombres: Details Document Info Information Message MoreInfo Readme Sources text_document Updates Seguido de una de las extensiones: exe zip Al ser ejecutado el gusano se copia a la carpeta %System% con el nombre de winhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winhost.exe" = "%System%\winhost.exe" también agrega la siguiente sub-llave: HKEY_CURRENT_USER\Software\Timeout Uid = "[aleatorio]" Port = "dword:00002346" Pid = "[aleatorio]" Al siguiente inicio se activa en memoria y termina con los procesos de cualquiera de los sistemas de seguridad que tengan uno de los siguientes archivos: AGENTSVR.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVGSERV9.EXE AVLTMAIN.EXE AVPUPD.EXE AVSYNMGR.EXE AVWUPD32.EXE AVXQUAR.EXE AVprotect9x.exe BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE ccApp.exe ccEvtMgr.exe CDP.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CMGRDIAN.EXE CMON016.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CV.EXE CWNB181.EXE CWNTDWMO.EXE DEFWATCH.EXE DEPUTY.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEBUPW.EXE ENT.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE EXANTIVIRUS-CNET.EXE FAST.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE GBMENU.EXE GBPOLL.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HTLOG.EXE HWPE.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFW2000.EXE IPARMOR.EXE IRIS.EXE JAMMER.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KILLPROCESSSETUP161.EXE LDPRO.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LSETUP.EXE LUALL.EXE LUCOMSERVER.EXE LUINIT.EXE MCAGENT.EXE MCUPDATE.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGUI.EXE MINILOG.EXE MOOLIVE.EXE MRFLUX.EXE MSCONFIG.EXE MSINFO32.EXE MSSMMC32.EXE MU0311AD.EXE navapsvc.exe NAV80TRY.EXE NAVAPW32.EXE NAVDX.EXE NAVSTUB.EXE NAVW32.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NETARMOR.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE NETSPYHUNTER-1.2.EXE NETSTAT.EXE NISSERV.EXE NISUM.EXE NMAIN.EXE NORTON_INTERNET_SECU_3.0_407.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NSCHED32.EXE NTVDM.EXE NUPGRADE.EXE NVARCH16.EXE NWINST4.EXE NWTOOL16.EXE NavShExt.dll OSTRONET.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PAVPROXY.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCDSETUP.EXE PCFWALLICON.EXE PCIP10117_0.EXE PDSETUP.EXE PERISCOPE.EXE PERSFW.EXE PF2.EXE PFWADMIN.EXE PINGSCAN.EXE PLATIN.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PROCEXPLORERV1.0.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE PURGE.EXE PVIEW95.EXE QCONSOLE.EXE QSERVER.EXE RAV8WIN32ENG.EXE REGEDIT.EXE REGEDT32.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RTVSCN95.EXE RULAUNCH.EXE SAFEWEB.EXE SAVSCAN.EXE SBSERV.EXE SD.EXE SETUPVAMEEVAL.EXE SETUP_FLOWPROTECTOR_US.EXE SFC.EXE SGSSFW32.EXE SH.EXE SHELLSPYINSTALL.EXE SHN.EXE SMC.EXE SOFI.EXE SPF.EXE SPHINX.EXE SPYXX.EXE SS3EDIT.EXE ST2.EXE SUPFTRL.EXE SUPPORTER5.EXE SYMPROXYSVC.EXE SYSEDIT.EXE SymWSC.exe TASKMON.EXE TAUMON.EXE TAUSCAN.EXE TC.EXE TCA.EXE TCM.EXE TDS-3.EXE TDS2-98.EXE TDS2-NT.EXE TFAK5.EXE TGBOB.EXE TITANIN.EXE TITANINXP.EXE TRACERT.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE UNDOBOOT.EXE UPDATE.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VBWIN9X.EXE VBWINNTW.EXE VCSETUP.EXE VFSETUP.EXE VIRUSMDPERSONALFIREWALL.EXE VNLAN300.EXE VNPC3000.EXE VPC42.EXE VPFW30S.EXE VPTRAY.EXE VSCENU6.02D30.EXE VSECOMR.EXE VSHWIN32.EXE VSISETUP.EXE VSMAIN.EXE VSMON.EXE VSSTAT.EXE VSWIN9XE.EXE VSWINNTSE.EXE VSWINPERSE.EXE W32DSM89.EXE W9X.EXE WATCHDOG.EXE WEBSCANX.EXE WGFE95.EXE WHOSWATCHINGME.EXE WINRECON.EXE WNT.EXE WRADMIN.EXE WRCTRL.EXE WSBGATE.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZAUINST.EXE ZONALM2601.EXE ZONEALARM.EXE Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar con los siguientes nombres: Ahead Nero 7.exe hardcore arhive.exe important.exe important update.exe install.exe Kaspersky Antivirus5.0 message.msg{Spaces}.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP workingCrack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe New document.doc{Spaces}.exe New patch.exe patch.exe Porno, sex, oral, anal cool, awesome!!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Serials.txt{Spaces}.exe setup.exe text.txt{Spaces}.exe update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc XXX hardcore images.exe Luego el gusano intenta descargar ejecutar un Script PHP de una de las siguientes direcciones: http://thehiphops.com http://68.24.54.122/ http://paromy.ru/_old_img/ http://www.ladywears.com/ http://64.12.212.12/ http://nine-one-one.ca/ http://www.evocreations.com/ http://sexyforum.ru/ http://rescan.com/ http://www.cardgoods.com/ http://blockism.net/ http://talent2k.com/ http://64.246.44.10 http://motivethree.com/img http://zalala.net http://biiig.org http://tovarisi.net Actualmente el archivo ha sido deshabilitado. Actuando como Backdoor se conecta a través del puerto TCP 9030 para recibir instrucciones y comandos del intruso y descargar y ejecutar archivos con códigos malignos. PER ANTIVIRUS® versión 9.4 con registro de virus al 05 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor.