W32/Bagle.DA@mm, I.worm.Bagle.DA@mm, W32/Beagle.DA@mm

Bagle.DA es un gusano de Correo residente en memoria reportado el 20 de Septiembre del 2005 cuyo archivo anexado de nombre aleatorio contiene el troyano Troj/Bagle.DA. Haciendo uso de su servidor SMTP se envía a los buzones de correo de la Libreta de Direcciones Windows, evitando enviarse a los que tienen determinadas cadenas de texto. Crea un Mutex para impedir la ejecución de algunas variantes del gusano Netsky y borra entradas de llaves asociadas a software de seguridad.

Intenta descargar un archivo de diversos sitios web (actualmente removido de los mismos).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 30.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El mensaje tiene las siguientes características: 

Remitente: emplea los buzones extraidos o falsas direcciones bajo la técnica Spoofing.
Asunto: en blanco
Contenido, uno de los siguientes:

• new price
• Password:
• price
• The password is

Anexado, uno de dos:

• 09_price.zip
• new__price.zip
• new_price.zip
• Newprice.zip
• price.zip
• price2.zip
• price_09.zip
• price_new.zip

El gusano extrae los buzones de la Libreta de Direcciones Windows y usando su propio servidor SMTP (Simple Mail Transfer Protocol) se envía a los mismos, evitando hacerlo a aquellos que tienen las cadenas de texto:

• @avp.
• @derewrdgrs
• @eerswqe
• @iana
• @messagelab
• @microsoft
• abuse
• admin
• anyone@
• bugs@
• cafee
• certific
• contract@
• f-secur
• feste
• free-av
• gold-certs@
• google
• help@
• icrosoft
• info@
• linux
• listserv
• local
• nobody@
• noone@
• noreply
• ntivi
• panda
• postmaster@
• rating@
• root@
• samples
• sopho
• support
• update
• winrar
• winzip

Al ser activado para evitar ser ejecutado en memoria más de una vez e impedir la ejecución de algunas variantes del gusano Netsky, crea el mutex (Exclusión Mutua):

'D'r'o'p'p'e'd'S'k'y'N'e't'
[SkyNet.cz]SystemsMutex
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
____--->>>>U<<<<--____
AdmSkynetJklS003
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

Luego se copia a la carpeta %System% con el nombre de Windll2.exe y crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n
"erthegdr" = "%System%\windll2.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
"erthegdr" = "%System%\windll2.exe"

Sin embargo el gusano no se ejecutará la próxima vez que se re-inicie le sistema y lo hará aleatoriamente después de la ejcución de un proceso.

una vez activado borra las entradas de las siguiente llaves vinculadas a software de seguridad:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n]

la entradas son:

• 9XHtProtect
• Antivirus
• EasyAV
• FirewallSvr
• HtProtect
• ICQ Net
• ICQNet
• Jammer2nd
• KasperskyAVEng
• MsInfo
• My AV
• NetDy
• Norton Antivirus AV
• PandaAVEngine
• service
• SkynetsRevenge
• Special Firewall Service
• SysMonXP
• Tiny AV
• Zone Labs Client Ex

Luego intenta descargar el archivo EML.EXE de diversos sitios web (actualmente ha sido borrado) 

Si la fecha del sistema es posterior al 23 de Septiembre del 2009 borra la siguiente entrada y la llave de registro:

[HKEY_CURRENT_USER\Software\ewrt]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n]
"erthegdr" = "%System%\windll2.exe"

después de este proceso el gusano se borrará asi mismo.