|
BAGLE.DW, gusano/backdoor de Correo y P2P descarga archivo maligno, recibe comandos vía TCP, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Bagle.DW@mm, W32/Beagle.DW@mm, Backdoor/Beagle.DW@mm
Bagle.DW es un gusano/backdoor reportado el 02 de Marzo del 2006 de alta propagación masiva a través de mensajes de correo con remitentes falsos, asuntos, contenidos y archivos anexados de nombre aleatorios.
Además se difunde vía la mayoría de redes de compartimiento de archivos Peer to Peer.
Abre un Backdoor a través de un puerto TCP aleatorio y disponible que permite recibir órdenes y ejecutar comandos del autor, en forma remota en los sistemas infectados.
Intenta descargar de diversas direcciones URL un archivo con código maligno.
Es un PE (Portable Ejecutable) e infecta Windows
98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ de extensiones variables con un promedio de 20 KB y doblemente comprimido con el utilitario
UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
y el utilitario UPolyX:
http://www.frame4.net/mdpro/index.php?cmd=files&file=5531
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:
- wab
- txt
- msg
- htm
- shtm
- stm
- xml
- dbx
- mbx
- mdx
- eml
- nch
- mmf
- ods
- cfg
- asp
- php
- pl
- wsh
- adb
- tbb
- sht
- xls
- oft
- uin
- cgi
- mht
- dhtm
- jsp
Evitando enviarse a las direcciones con cualquiera de las cadenas:
- @hotmail
- @msn
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- google
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
Las direcciones extraídas son almacendas en la ruta %Windir%\vcremoval.dll.
El mensaje tiene las siguientes características:
Remitente: emplea la técnica Spoofing.
Asunto, uno de los siguientes:
- Phshing is illegal
- Where did you learn to scam?
- You are a criminal and will be busted!
- You steal from innocent people
Contenido, elegido aleatoriamente de uno de los siguientes:
- Hey pal. Do you know, that your webpage paypalll.comprovides a phishing attack?
Open attached file for a proof
hmmmm it's quite nice, but I think that cops would be interested in it.
So my friend. take the page away and put a Appologize on it.
Or the Police will hear from me.
Cya my friend
- Hi!
Just to inform you that your email is used by a spamer who intends
to steal bank account information thru a fake site.
If you are not involded, I can bring you additionnal information. Check attached file for a proof.
If you are, you're a little son of a bitch.
- Dude,
I found your email from whois info of a web page that was used in spam and illigal activity,
please do something or you will be sued and busted.
Was very dumb to leave your email, asshole!
P.S Attached file is self-exatracting archive with information about your criminal activity.
Anexado, uno de los siguientes nombres:
- proof.exe
- scam.exe
- whois_info.exe
- your_info.exe
- myscreenshot.exe
En forma aleatoria agrega una segunda extensión report.txt que tiene este contenido:
++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.com
Luego se copia a la carpeta %System% como windll32lib.exe y libera en esa misma carpteta los archivos:
- windll32lib.exe
- windll32lib.exeopen
- windll32lib.exeopenopen
Y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"winshell" = "%System%\windll32lib.exe"
Al siguiente re-inicio el gusano activa su rutina de envío masivo de mensajes de correo.
Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare,
eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar
instaladas, con los siguientes nombres:
- anna benson sex video.exe
- kate beckinsale nude pictures.exe
- jenna elfman sex anal deepthroat.exe
- miss america Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- barrett jackson nude photos, movies, porn video.exe
- Britney Spears sex photos.exe
- paris hilton Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 10.exe
- Windown Vista Beta Leak.exe
- IE beta 7.exe
- Serials 2005 database.exe
- XXX hardcore images.exe
- Adobe Photoshop 9 full.exe
Luego el gusano intenta descargar el archivo zo2.jpg de las siguientes direcciones en la web:
- http://www.amanit.ru
- http://www.anthonyflanagan.com
- http://www.approved1stmortgage.com
- http://www.argument.h12.ru
- http://www.arkebek.de
- http://www.artek.org
- http://www.asianfestival.nl
- http://www.astergut.at
- http://www.aviation-center.de
- http://www.bbsh.org
- http://www.besino.com
- http://www.bestbuy.de
- http://www.beta.mtw.ru
- http://www.bga-gsm.ru
- http://www.blessino.com
- http://www.blueeyeinc.com
- http://www.breaklight.be
- http://www.brzesko.net.pl
- http://www.catsystem.com.kg
- http://www.cdnpartner.com.pl
- http://www.ceskyhosting.cz
- http://www.channeland.com
- http://www.compsolutionstore.com
- http://www.concept.kg
- http://www.corpsite.com
- http://www.couponcapital.net
- http://www.DarrkSydebaby.com
- http://www.dehut-westerhoven.nl
- http://www.dhl.kg
- http://www.dierollendedisco.de
- http://www.discobaradventure.be
- http://www.e-nfo.com
- http://www.e-power.com.cn
- http://www.ecobank.kg
- http://www.elenalazar.com
- http://www.europa.kg
- http://www.everett.wednet.edu
- http://www.externet.hu
- http://www.forester.kg
- http://www.fotocliparts.de
- http://www.fotonw.org
- http://www.freesites.com.br
- http://www.funbunker.de
- http://www.funworld.tv
- http://www.gameser.com@share.gameser.com
- http://www.gci-bln.de
- http://www.gcnet.ru
- http://www.giantrevenue.com
- http://www.himpsi.org
- http://www.i3dvr.com
- http://www.ibigmart.net
- http://www.idb-group.net
- http://www.illusionoflife.net
- http://www.infocuspromo.com
- http://www.irinaswelt.de
- http://www.jansenboiler.com
- http://www.jasnet.pl
- http://www.jcribeiro.com
- http://www.jewelleryamberproducts.com
- http://www.jimvann.com
- http://www.jldr.ca
- http://www.jordanramey.net
- http://www.joy-musik-sound.de
- http://www.justrepublicans.com
- http://www.katel.kg
- http://www.knicks.nl
- http://www.koebers.pl
- http://www.kogaionon.com
- http://www.kplus.kg
- http://www.kradtraining.de
- http://www.kranenberg.de
- http://www.kranenberg.de:113547@
- http://www.kstrus.com.pl
- http://www.ktsonline.de
- http://www.lahelaino.com
- http://www.lawform.com.au
- http://www.leetexgroup.com
- http://www.leshrak.de
- http://www.leshrak.de:prophets@
- http://www.logoseiten.de
- http://www.magicbottle.com.tw
- http://www.mcuserver.cz
- http://www.mega-spass.com
- http://www.mega.kg
- http://www.mepbisu.de
- http://www.mepmh.de
- http://www.mtfdesign.com
- http://www.mtransit.kg
- http://www.neotech.kg
- http://www.nikonfotoshare.com
- http://www.novosti.kg
- http://www.ok.kg
- http://www.onepositiveplace.org
- http://www.online.kg
- http://www.orangesuburban.5u.com
- http://www.otv.ch
- http://www.pageantpage.com
- http://www.pankration.com
- http://www.para-agility.com
- http://www.pdxracing.net
- http://www.pfadfinder-leobersdorf.com
- http://www.pipni.cz
- http://www.pjwstk.edu.pl
- http://www.polizeimotorrad.de
- http://www.proway-consulting.com
- http://www.pyrlandia-boogie.pl
- http://www.qphoto.co.za
- http://www.raecoinc.com
- http://www.realgps.com
- http://www.realty.kg
- http://www.redlightpictures.com
- http://www.reliance-yachts.com
- http://www.relocationflorida.com
- http://www.rentalstation.com
- http://www.rieraquadros.com.br
- http://www.sacohalle.be
- http://www.scanex-medical.fi
- http://www.scoping4success.com
- http://www.sert.ru
- http://www.sigi.lu
- http://www.spadochron.pl
- http://www.ssc.kg
- http://www.ssmifc.ca
- http://www.stadtmeyers.de
- http://www.stadtmeyers.de:R2D2c3po@
- http://www.sterlingirb.com
- http://www.sunassetholdings.com
- http://www.szantomierz.art.pl
- http://www.szosa.pl
- http://www.tambourenvereine.ch
- http://www.tarnow.opoka.org.pl
- http://www.tc-muraene.com
- http://www.tc-muraene.com:hunter@
- http://www.theroyalregistry.com
- http://www.transportation.gov.bh
- http://www.tumar.kg
- http://www.tunguska.hu
- http://www.turkeyhomes.com
- http://www.turkeyhomes.com@
- http://www.ulpiano.org
- http://www.unicity.pl
- http://www.vbw.info
- http://www.velezcourtesymanagement.com
- http://www.vorrix.com
- http://www.webpark.pl
- http://www.wecompete.com
- http://www.wp.pl
- http://www.wwwebad.com
- http://www.xpager321.wz.cz
- http://www.yamdiamonds.com
- http://www.zander-yachting.com
Actuando como Backdoor el gusano se conecta remotamente a través del puerto del puerto TCP 2535 para recibir comandos del autor y ejecutar comandos. Borra además la llave de registro:
[HKEY_CURRENT_USER\Software\windows shell]
intenta conectares a determinadas direcciones URL con el siguiente formato:
http:\\a[números_aleatorio].[dominio].com/?id0
El dominio puede ser uno de los siguientes:
- egozda
- kerrabez
- mimitza
- morkovcka
- varsshava
en caso de hacerlo satisfactoriamente, descarga y ejecuta en el directorio %Windir% el archivo [números_aleatorios].exe
Dentro de su código se lee el siguiente texto:
In a difficult world
In a nameless time
I want to survive
So, you will be mine!!
-- Bagle Author, 29.04.04, Germany.
|
PER ANTIVIRUS® versión 9.6 con registro de virus al 02 de Marzo del 2006 detecta y elimina eficientemente este gusano/backdoor.
