W32/Bagle.C@mm, W32/Beagle.C@mm, Backdoor/Beagle.C@mm

Bagle.B es un gusano residente en memoria variante de la familia Bagle, reportado el 28 de Febrero del 2004, de alta propagación masiva a través de mensajes de correo con un archivo binario de nombre aleatorio con las extensiones .EXE o .ZIP. 

Abre un componente Backdoor que le permite recibir comandos del autor a través del puerto TCP 2745 y se conecta a varias direcciones URL ubicadas en Alemania, intentando ejecutar un Script PHP inexistente. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con un promedio de 15 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El mensaje tiene las siguientes características: 

Remitente: emplea la técnica Spoofing con direcciones falsas.
Asunto: elegido aleatoriamente de:

• Accounts department
• Ahtung!
• Camila
• Daily activity report
• Flayers among us
• Freedom for everyone
• From Hair-cutter
• From me
• Greet the day
• Hardware devices price-list
• Hello my friend
• Hi!
• Jenny
• Jessica
• Looking for the report
• Maria
• Melissa
• Monthly incomings summary
• New Price-list
• Price
• Price list
• Pricelist
• Price-list
• Proclivity to servitude
• Registration confirmation
• The account
• The employee
• The summary
• USA government abolishes the capital punishment
• Weekly activity report
• Well...
• You are dismissed
• You really love me? he he

Contenido: en blanco
Anexado: Archivo binario de nombre aleatorio con extensión .EXE con icono de Excel o en formato .ZIP

Al ser activado el gusano crea un mutex (Exclusión Mutua) denominado imain_mutex para evitar ser ejecutado en memoria más de una vez. Luego verifica si la fecha del sistema es 14 de Marzo o superior y no realiza ningún proceso de infección, de lo contrario ejecuta el archivo Notepad.exe, sin contenido, mostrando en pantalla:

Luego se copia a la carpeta %System% con el nombre de Readme.exe y libera los siguientes archivos:

• onde.exe (ejecutor del envío masivo de correo)
• doc.exe   (cargador del archivo .DLL)
• readme.exeopen (archivo Readme.exe comprimido en formato .ZIP enviado como anexado)

Para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"gouday.exe" = "%System%\Readme.exe"

Crea además las siguientes tres llaves:

[HKEY_CURRENT_USER\Software\DateTime2 "frun" = "1" 
[HKEY_CURRENT_USER\Software\DateTime2 "uid" = "[valor_aleatorio]" 
[HKEY_CURRENT_USER\Software\DateTime2 "port" = "2745" 

Al siguiente re-inicio el gusano se activa en memoria y termina con los procesos de cualquiera de los sistemas de seguridad que tengan los siguientes archivos:

• ATUPDATER.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVLTMAIN.EXE
• AVPUPD.EXE
• AVWUPD32.EXE
• AVXQUAR.EXE
• CFIAUDIT.EXE
• DRWEBUPW.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• MCUPDATE.EXE
• NUPGRADE.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• UPDATE.EXE

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:

• wab
• txt
• htm
• html
• dbx
• mdx
• eml
• nch
• mnf
• ods
• cfg
• asp
• php
• pl
• adb
• sht

Emplea la técnica Email spoofing, que disfraza a los Remitentes y tiene una rutina que evita auto-enviarse a direcciones con las siguientes cadenas: 

• @hotmail.com
• @msn.com
• @microsoft
• @avp.
• ch
• noreply
• local
• root@
• postmaster@ 

Actuando como Backdoor el gusano se conecta remotamente a través del puerto TCP 2745 (TSB) para recibir comandos del autor del virus intentado además contactar varios sitios web ubicados en Alemania a los cuales invoca un Script con extensión PHP, el mismo que no existe:

• http://permail.uni-muenster.de/scr.php
• http://www.songtext.net/de/scr.php
• http://www.sportscheck.de/scr.php