Bagle.CL

BAGLE.CL gusano de Correo y Peer to Peer termina procesos de antivirus firewalls modifica archivo HOSTS, etc.

W32/Bagle.CL@mm, W32/Beagle.CL@mm

Bagle.CL es un destructivo gusano reportado el 03 de Febrero del 2006, de propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados de nombres aleatorios.

Se propaga a además vía las redes Peer to Peer, termina los procesos de antivirus y software de seguridad. Deshabilita la conexión compartida a Internet y los servicios del Firewall.

Borra los valores, en caso existieran, de las llaves de registro creadas por variantes del gusano Netsky y al ser ejecutado activa el Notepad.exe, mostrando una ventana con texto "basura".

Modifica el archivo HOSTS para impedir el acceso a sitios web relacionados a software antivirus, firewalls y de control e intenta infructuosamente descargar un archivo desde diversas URLs.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP ,y Server 2003, está escrito en MS Visual C++ con extensión variable y comprimido con rutinas propietarias.

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) se auto-envía con las siguientes características:

Remitente: usa la Libreta de Direcciones de Windows (WAB) o las extraídas de archivos con las extensiones:

DHTM
SHTM

evitando enviarse a las direcciones con cualquiera de las cadenas:

@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip

Asunto, uno de los siguientes:

Delivery by mail
Delivery service mail
Is delivered mail
Price
Registration is accepted
You are made active

Contenido, uno de los siguientes:

Before use read the help
February price
Thanks for use of our software.

Anexado, uno de los siguientes archivos:

21_price.zip
February_price.zip
guupd02.zip
Jol03.zip
new_price.zip
price.zip
pricelist.zip
siupd02.zip
upd02.zip
viupd02.zip
wsd01.zip
zupd02.zip

Al activarse el gusano, ejecuta el Notepad.exe liberando un archivo de texto con caracteres "basura" en una carpeta temporal:

crea los siguientes mutex (Exclusión Mutua) para evitar infectar el sistema más de una vez e impedir la ejecución de variantes del gusano Netsky, en caso existiesen:

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

Luego se copia a la carpeta %System% con el nombre de Sysformat.exe y para ejecutarse la próxima vez que se re-inicie el sistema genera la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"sysformat" = "%System%\Sysformat.exe"

Al siguiente inicio del equipo el gusano termina los siguientes procesos relacionados a antivirus y software de seguridad:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapsvc.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NPROTECT.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

luego remueve los registros de las variantes del gusano Netsky, en caso existir, de las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

borra además los siguientes valores de las llaves de registro:

ICQ Net
My AV

para deshabilitar la conexión compartida a Internet (Internet Connection Sharing) y Firewall, cambia la llave de registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
"Start" = "dword:00000004"

definida por defecto a:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
"Start" = "00000003"

para infectar vía redes Peer to Peer libera una copia de sí mismo en las carpetas que tengan la cadena Share usando uno de los siguientes nombres de archivos:

1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe

En sistemas basados en Tecnologías NT modifica el archivo HOSTS para impedir el acceso a los siguientes sitios web:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

Finalmente intenta descargar infructuosamente el archivo q.jpg, desde diversas direcciones en la web.

PER ANTIVIRUS® versión 9.6 con registro de virus al 03 de Febrero del 2006 detecta y elimina eficientemente este gusano.