Bagle.EO

BAGLE.EO, gusano de Correo y Peer to Peer, deshabilita antivirus, firewall de Windows, descarga archivos, etc.

W32/Bagle.EO@mm, W32/Beagle.EO@mm

Bagle.EO es un gusano residente en memoria reportado el 10 de Mayo del 2006 de alta propagación masiva a través de mensajes de correo con asuntos, contenidos y archivos anexados de nombres aleatorios.

Se propaga además vía las redes de compartimiento de archivos Peer to Peer.

Termina los procesos de una extensa lista de antivirus, firewalls y programas de control y para eludir el Firewall de Windows se agrega a la lista de excepción de este Firewall, creando una llave de registro.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 22 KB y comprimido con el utilitario FSG:

http://www.exetools.com

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

adb
asp
cfg
cgi
dbx
dhtm
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
sht
shtm
stm
tbb
txt
uin
wab
wsh
xls
xml

evitando enviarse a las direcciones con cualquiera de las cadenas:

@avp.
@hotmail.com
@iana
@messagelab
@microsoft
@msn.com
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip

El mensaje tiene las siguientes características:

Asunto, elegido aleatoriamente de uno de los siguientes:

Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update

Contenido, uno de los siguientes:

Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Here is the file. Message is in attach More info is in attach Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Try this. Your document is attached. Your file is attached. Anexado, uno de los siguientes: Details.exe Details.exe Document.exe Information.exe Message.exe MoreInfo.exe Readme.exe Sources.exe text_document.exe Updates.exe

Al ser ejecutado el gusano se copia a la carpeta %System% con el nombre de Winhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winhost.exe" = "%System%\winhost.exe" para eludir el Firewall de MS Windows se agrega a la lista de excepción del mismo, creando la llave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List %System%\winhost.exe = "%System%\winhost.exe:*:Enabled:winhost" Al siguiente inicio del equipo se activa en memoria y termina los procesos de los siguientes antivirus, firewalls y programas de seguridad: AGENTSVR.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVGSERV9.EXE AVLTMAIN.EXE AVPROTECT9X.EXE AVPUPD.EXE AVSYNMGR.EXE AVWUPD32.EXE AVXQUAR.EXE BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE CCAPP.EXE CCEVTMGR.EXE CDP.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET.EXE CFINET32.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLEANPC.EXE CMGRDIAN.EXE CMGRDIAN.EXE CMON016.EXE CMON016.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CV.EXE CWNB181.EXE CWNTDWMO.EXE DEFWATCH.EXE DEPUTY.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEBUPW.EXE ENT.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE EXANTIVIRUS-CNET.EXE FAST.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE GBMENU.EXE GBPOLL.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HTLOG.EXE HWPE.EXE IAMAPP.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFW2000.EXE IPARMOR.EXE IRIS.EXE JAMMER.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KILLPROCESSSETUP161.EXE LDPRO.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LSETUP.EXE LUALL.EXE LUCOMSERVER.EXE LUINIT.EXE MCAGENT.EXE MCUPDATE.EXE MCUPDATE.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGUI.EXE MINILOG.EXE MOOLIVE.EXE MRFLUX.EXE MSCONFIG.EXE MSINFO32.EXE MSSMMC32.EXE MU0311AD.EXE NAV80TRY.EXE NAVAPSVC.EXE NAVAPW32.EXE NAVDX.EXE NAVSHEXT.DLL NAVSTUB.EXE NAVW32.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NETARMOR.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE NETSPYHUNTER-1.2.EXE NETSTAT.EXE NISSERV.EXE NMAIN.EXE NORTON_INTERNET_SECU_3.0_407.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NPROTECT.EXE NSCHED32.EXE NTVDM.EXE NUPGRADE.EXE NVARCH16.EXE NWINST4.EXE NWTOOL16.EXE OSTRONET.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PAVPROXY.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCDSETUP.EXE PCFWALLICON.EXE PCFWALLICON.EXE PCIP10117_0.EXE PDSETUP.EXE PERISCOPE.EXE PERSFW.EXE PF2.EXE PFWADMIN.EXE PINGSCAN.EXE PLATIN.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PROCEXPLORERV1.0.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE QCONSOLE.EXE QSERVER.EXE REGEDIT.EXE REGEDT32.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RULAUNCH.EXE SAFEWEB.EXE SAVSCAN.EXE SBSERV.EXE SD.EXE SETUP_FLOWPROTECTOR_US.EXE SETUPVAMEEVAL.EXE SFC.EXE SGSSFW32.EXE SH.EXE SHELLSPYINSTALL.EXE SYMWSC.EXE SYSEDIT.EXE TAUMON.EXE TAUSCAN.EXE TRACERT.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE UNDOBOOT.EXE UPDATE.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VIRUSMDPERSONALFIREWALL.EXE W32DSM89.EXE WATCHDOG.EXE WEBSCANX.EXE WHOSWATCHINGME.EXE WINRECON.EXE WNT.EXE WRADMIN.EXE WRCTRL.EXE WSBGATE.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar, en caso de estar instaladas, con los siguientes nombres de archivos: 12 year old Katia sucks and fucks me in lots of positions. (teen preteen anal cumshot sex young whore school lolita.avi.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Doom3_nocd.exe HalfLife2_noCD.exe Kaspersky Antivirus 5.0 KAV 5.0 Lolita porn.avi.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Norton Antivirus, working Keygen.exe nude lolita.jpg.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Luego el gusano intenta infructuosamente descargar los archivos in.php e ini.php de diversos sitios web. PER ANTIVIRUS® versión 9.7 con registro de virus al 10 de Mayo del 2006 detecta y elimina eficientemente este gusano.