Bagle.CI

BAGLE.CI destructivo gusano/backdoor extrae direcciones de correo de sitios web descarga Malware, etc.

W32/Bagle.CI@mm, I.worm.bagle.CI@mm

Bagle.CI es un destructivo gusano/backdoor residente en memoria reportado el 12 de Agosto del 2005, que ingresa a través de mensajes de correo con Asuntos y Contenidos en blanco, conteniendo un archivo de nombre aleatorio con extensión .ZIP

Al desempaquetarse infecta los sistemas con otra variante de la familia Bagle.

Se envía a las direcciones de correo que extrae de diversos sitios web.

Su componente Backdoor se conecta a una relación de sitios web ejecuta en forma dinámica un Script PHP que extrae las direcciones de correo y las envía a los sistemas además de un archivo con código maligno Eml.exe, el cual copia a la carpeta %System% de los sistemas infectados.

Los sitios web cambian periódicamente de nombre en forma aleatoria.

Posee su propio SMTP (Simple Mail Transfer Protocol) se envía a las direcciones de correo que captura de una lista de sitios en la web, a través del puerto TCP 80, evitando enviarse a aquellos buzones que tengan las siguientes cadenas de texto:

abuse
admin
anyone@
@avp.
bsd
bugs@
cafee
certific
contract@
@derewrdgrs
@eerswqe
feste
@foo
free-av
f-secur
gold-certs@
google
help@
@iana
icrosoft
info@
kasp
linux
listserv
local
@messagelab
@microsoft
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

El mensaje tiene las siguientes características:

Remitente: una de las direcciones extraídas dela web o falsas usando la técnica Spoofing.
Asunto: [vacío]
Contenido: [vacío]
Anexado: [nombre-aleatorio].zip

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ de extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema el archivo .ZIP se desempaqueta y ejecuta el archivo Taxes.exe luego se copia a la carpeta %System% con el nombre de Svc23.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "erthgdr2" = "%System%\svc23.exe" Al siguiente inicio del equipo su componente Backdoor se conecta a una de las siguiente direcciones web: amerikansk-bulldog.dk carnwoodcontracting.com clickhare.com cptna.com creacionesartisticasandaluzas.com dggraphicsonline.com directeenhuis.nl doelker-torbau.de dorelvis.com downwiththesickness.com dreamdecor.com.pl dunajec.zakliczyn.pnth.net ekshrine.com essonline.us eventpeopleforyou.com falconframingco.com familiasmaltratadas.com fiberdesign.co.uk fiberfeed.com findingmodels.net fpcoc.org fyeye.com gamespy.cz golosmira.com goto.mk.ua ligapichangueras.cl phdenmark.dk representacion4380.net desde donde ejecuta un Script PHP que en forma dinámica extrae las direcciones de correo de los sitios web a donde logró conectarse y se las envía a los sistema infectados además de un archivo de nombre Eml.exe que contiene códigos malignos, el cual es copiado a la carpeta %System%. PER ANTIVIRUS® versión 9.4 con registro de virus al 12 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor.