|
BAGLE.CYZ gusano/backdoor de Correo deshabilita valores de gusano Netsky libera y descarga troyanos, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Bagle.CYZ@mm, W32/Beagle.CYZ@mm
Bagle.CYZ es un gusano/backdoor reportado el 21 de Diciembre del 2005, de propagación masiva en mensajes de correo con Remitentes falsos, Asuntos, Contenidos y archivos Anexados de nombres
aleatorios que liberan un troyano..
Borra los valores, en caso existieran, de las llaves de registro creadas por variantes del gusano Netsky.
A través del puerto TCP 80 abre un Backdoor que
usa como servidor Proxy, luego intenta descargar de diversos sitios web y copiar al directorio %Windir% el archivo Eml.exe
que es un troyano.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con extensión variable y comprimido con el utilitario FSG:
http://www.exetools.com/compressors.htm
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Email Spoofing usando uno de los siguientes nombres:
- Ales
- Alice
- Alyce
- Andrew
- Androw
- Androwe
- Ann
- Anna
- Anne
- Annes
- Anthonie
- Anthony
- Anthonye
- Avice
- Avis
- Bennet
- Bennett
- Christean
- Christian
- Constance
- Cybil
- Daniel
- Danyell
- Dorithie
- Dorothee
- Dorothy
- Edmond
- Edmonde
- Edmund
- Edward
- Edwarde
- Elizabeth
- Elizabethe
- Ellen
- Ellyn
- Emanual
- Emanuel
- Emanuell
- Ester
- Frances
- Francis
- Fraunces
- Gabriell
- Geoffraie
- George
- Grace
- Harry
- Harrye
- Henrie
- Henry
- Henrye
- Hughe
- Humphrey
- Humphrie
- Isabel
- Isabell
- James
- Jane
- Jeames
- Jeffrey
- Jeffrye
- Joane
- Johen
- John
- Josias
- Judeth
- Judith
- Judithe
- Katherine
- Katheryne
- Leonard
- Leonarde
- Margaret
- Margarett
- Margerie
- Margerye
- Margret
- Margrett
- Marie
- Martha
- Mary
- Marye
- Michael
- Mychaell
- Nathaniel
- Nathaniell
- Nathanyell
- Nicholas
- Nicholaus
- Nycholas
- Peter
- Ralph
- Rebecka
- Richard
- Richarde
- Robert
- Roberte
- Roger
- Rose
- Rycharde
- Samuell
- Sara
- Sidney
- Sindony
- Stephen
- Susan
- Susanna
- Suzanna
- Sybell
- Sybyll
- Syndony
- Thomas
- Valentyne
- William
- Winifred
- Wynefrede
- Wynefreed
- Wynnefreede
con el dominio del sistema previamente infectado.
evitando enviarse a las direcciones con cualquiera de las cadenas:
- @eerswqe
- @derewrdgrs
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- google
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
Asunto, uno de los siguientes:
- New Year's
- New Year's Day.
- Happy New Year
- We congratulate happy New Year
- New 2006
Contenido, uno de los siguientes:
- Password: [enlace_a_imagen_aleatoria]
- The password is [enlace_a_imagen_aleatoria]
Anexado, uno de los siguientes archivos:
- Ales.zip
- Alice.zip
- Alyce.zip
- Andrew.zip
- Androw.zip
- Androwe.zip
- Ann.zip
- Anna.zip
- Anne.zip
- Annes.zip
- Anthonie.zip
- Anthony.zip
- Anthonye.zip
- Avice.zip
- Avis.zip
- Bennet.zip
- Bennett.zip
- Christean.zip
- Christian.zip
- Constance.zip
- Cybil.zip
- Daniel.zip
- Danyell.zip
- Dorithie.zip
- Dorothee.zip
- Dorothy.zip
- Edmond.zip
- Edmonde.zip
- Edmund.zip
- Edward.zip
- Edwarde.zip
- Elizabeth.zip
- Elizabethe.zip
- Ellen.zip
- Ellyn.zip
- Emanual.zip
- Emanuel.zip
- Emanuell.zip
- Ester.zip
- Frances.zip
- Francis.zip
- Fraunces.zip
- Gabriell.zip
- Geoffraie.zip
- George.zip
- Grace.zip
- Harry.zip
- Harrye.zip
- Henrie.zip
- Henry.zip
- Henrye.zip
- Hughe.zip
- Humphrey.zip
- Humphrie.zip
- Isabel.zip
- Isabell.zip
- James.zip
- Jane.zip
- Jeames.zip
- Jeffrey.zip
- Jeffrye.zip
- Joane.zip
- Johen.zip
- John.zip
- Josias.zip
- Judeth.zip
- Judith.zip
- Judithe.zip
- Katherine.zip
- Katheryne.zip
- Leonard.zip
- Leonarde.zip
- Margaret.zip
- Margarett.zip
- Margerie.zip
- Margerye.zip
- Margret.zip
- Margrett.zip
- Marie.zip
- Martha.zip
- Mary.zip
- Marye.zip
- Michael.zip
- Mychaell.zip
- Nathaniel.zip
- Nathaniell.zip
- Nathanyell.zip
- Nicholas.zip
- Nicholaus.zip
- Nycholas.zip
- Peter.zip
- Ralph.zip
- Rebecka.zip
- Richard.zip
- Richarde.zip
- Robert.zip
- Roberte.zip
- Roger.zip
- Rose.zip
- Rycharde.zip
- Samuell.zip
- Sara.zip
- Sidney.zip
- Sindony.zip
- Stephen.zip
- Susan.zip
- Susanna.zip
- Suzanna.zip
- Sybell.zip
- Sybyll.zip
- Syndony.zip
- Thomas.zip
- Valentyne.zip
- William.zip
- Winifred.zip
- Wynefrede.zip
- Wynefreed.zip
- Wynnefreede.zip
Al ser activado el gusano crea el siguiente mutex (Exclusión Mutua) para evitar ser ejecutado en memoria más de una vez y para detener la ejecución de variantes del gusano Netsky, en caso existiesen:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Luego se copia a la carpeta %System% con el nombre de Wind2ll2.exe y para ejecutarse la próxima vez que se re-inicie el sistema genera las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n]
"erfgddfk" = "%System%\wind2ll2.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erfgddfk" = "%System%\wind2ll2.exe"
Al siguiente inicio del equipo el gusano libera el archivo S3700026.exe, que es una copia del troyano Troj/Bagle.CD
y borra los valores creados por variantes del gusano Netsky, en caso éstos existieran:
- "My AV"
- "Zone Labs Client Ex"
- "9XHtProtect"
- "Antivirus"
- "Special Firewall Service"
- "service"
- "Tiny AV"
- "ICQNet"
- "HtProtect"
- "NetDy"
- "Jammer2nd"
- "FirewallSvr"
- "MsInfo"
- "SysMonXP"
- "EasyAV"
- "PandaAVEngine"
- "Norton Antivirus AV"
- "KasperskyAVEng"
- "SkynetsRevenge"
- "ICQ Net
de las siguientes llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n]
también, en caso de existir, borra las sub-llaves:
[HKEY_CURRENT_USER\Software\ewrdds]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n\"erfgddfk"]
El gusano, a través del puerto TCP 80 abre un Backdoor que usa como servidor Proxy y para
verificar la conexión a Internet intenta contactar el servidor SMTP smtp.mail.ru a través del puerto TCP
25 y se conecta al motor de búsqueda Google y a la dirección IP:
194.190.195.66 (perteneciente a Telekom, Rusia)
y luego intenta descargar de diversos sitios web y copiar al directorio %Windir% el archivo Eml.exe,
que es un destructivo troyano.
PER ANTIVIRUS® versión 9.5 con registro de virus al 21 de Diciembre del 2005 detecta y elimina eficientemente este gusano/backdoor.
