|
BAGLE.EW, gusano de Correo y P2P, deshabilita antivirus, claves de Netsky, anula Firewall de Windows, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Bagle.EW@mm, W32/Beagle.EW@mm
Bagle.EW es un gusano residente en memoria reportado el 16 de Febrero del 2006 de alta propagación masiva a través de mensajes de correo con asuntos, contenidos y archivos anexados de nombres aleatorios.
Se propaga además vía las redes de compartimiento de archivos Peer to Peer.
Borra diversos valores correspondientes a software antivirus y programas de control de llaves de registro y para eludir el Firewall de Windows se agrega a la lista de excepción del Firewall creando una llave.
Al activarse muestra una falsa caja de diálogo.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP y Server 2003, escrito en MS Visual C++ con extensiones variables.
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:
- adb
- asp
- cfg
- cgi
- dbx
- dhtm
- eml
- htm
- jsp
- mbx
- mdx
- mht
- mmf
- msg
- nch
- ods
- oft
- php
- pl
- sht
- shtm
- stm
- tbb
- txt
- uin
- wab
- wsh
- xls
- xml
evitando enviarse a las direcciones con cualquiera de las cadenas:
- @avp.
- @hotmail
- @iana
- @messagelab
- @microsoft
- abuse
- admin
- anyone@
- bugs@
- cafee
- certific
- contract@
- f-secur
- feste
- free-av
- gold-certs@
- google
- help@
- icrosoft
- info@
- linux
- listserv
- local
- nobody@
- noone@
- noreply
- ntivi
- panda
- postmaster@
- rating@
- root@
- samples
- sopho
- support
- update
- winrar
- winzip
El mensaje tiene las siguientes características:
Asunto, elegido aleatoriamente de uno de los siguientes:
- Come Be With Me, my Love!
- Love you with all my heart!
- My dream is coming true!
- See you tonight!
- Will You Be My Valentine?
Contenido, uno de los siguientes:
- A stranger came to the door at eve,And he spoke the bridegroom fair.He bore a green-white stick in his hand,And, for all burden, care.He asked with the eyes more than the lipsFor a shelter for the night,And he turned and looked at the road afarWithout a window light.The bridegroom came forth into the porch
With, "Let us look at the sky,And question what of the night to be,Stranger, you and I."The woodbine leaves littered the yard,The woodbine berries were blue,Autumn, yes, winter was in the wind;"Stranger, I wish I knew."Within, the bride in the dusk alone Bent over the open fire,Her face rose-red with the glowing coalAnd the
thought of the heart's desire.The bridegroom looke
d at the weary road,Yet saw but her within,And wished her heart in a case of goldAnd pinned with a silver pin.The bridegroom thought it little to giveA dole of bread, a purse,A heartfelt prayer for the poor of God,Or for the rich a curse;But whether or not a man was askedTo mar the love of twoby harboring woe in the bridal house,The bridegroom
wished he knew.
- Love at the lips was touchAs sweet as I could bear;And once that seemed too much;I lived on airThat crossed me from sweet things,The flow of - was it muskFrom hidden grapevine springsDown hill at dusk?I had the swirl and acheFrom sprays of honeysuckleThat when they re gathered shakeDew on the knu
ckle.I craved strong sweets, but thoseSeemed strong when I was young;The petal of the roseIt was that stung.Now no joy but lacks saltThat is not dashed with painAnd weariness and fault;I crave the stainOf tears, the aftermarkOf almost too much love,The sweet of bitter barkAnd burning clove.When stiff and sore and scarredI take away my hand
From leaning on it hardIn grass and sand The hurt is not enough:I long for weight and strengthTo feel the earth as roughTo all my length.
- I woke up in a white roomwith white lace curtains.Snow covered landscape;I_m in Memphis for certainYesterday, it took over three hoursjust to travel the last twenty miles.But nothing is like my wife_s familyalways being greeted with smilesI was hoping for a White Christmas.You_d be surprise how simple I am.Be
careful what you wish forGod may be listening to your plan.Most of the nation is coveredwith that dangerous and beautiful thingI am grateful for arriving safelyfor my wife_s happiness is everything.She wanted to see her family,her father, uncles and aunts.I ve kept her in Southwest Texas too long;this trip
I most willingly grant.So, here we are nowin a snowy southern wonderland.Waiting for Christmas dinner to come;a present only my wife can understand
Anexado, uno de los siguientes:
- love_me.exe
- love_me_now.exe
- Mplay.exe
Al ser ejecutado el gusano muestra esta caja de diálogo:
Luego se copia a las siguientes rutas y con los nombres:
- %System%\lmovie.exe (copia del gusano)
- %System%\lmovie.exeopen (copia del gusano con código basura)
- %System%\lmovie.exeopenopen (copia del gusano con código basura)
- %Windows%\vcualts32.exe (copia del gusano)
para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MovieM" = "%System%\lmovie.exe"
para eludir el Firewall de MS Windows se agrega a la lista de excepción del Firewall creando la llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
"[ruta_y_nombre_de_archivo_infectado]" = "[ruta_y_nombre_de_archivo_infectado]:*:ipsec"
crea además los siguientes Mutex para evitar la ejecución de variantes del gusano Netsky, si es que las hubieren en el sistema infectado:
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- [SkyNet.cz]SystemsMutex
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- ____--->>>>U<<<<--____
- AdmSkynetJklS003
- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
Al siguiente inicio del equipo se activa en memoria y borra los siguientes valores de software antivirus o programas de seguridad:
- 9XHtProtect
- Antivirus
- EasyAV
- FirewallSvr
- HtProtect
- ICQ Net
- ICQNet
- Jammer2nd
- KasperskyAVEng
- MsInfo
- My AV
- NetDy
- Norton Antivirus AV
- PandaAVEngine
- service
- SkynetsRevenge
- Special Firewall Service
- SysMonXP
- Tiny AV
- Zone Labs Client Ex
de las siguientes llaves:
- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar, en caso de estar instaladas, con los siguientes nombres:
- Adobe Photoshop 9 full.exe
- Ahead Nero 10.exe
- anna benson sex video.exe
- barrett jackson nude photos, movies, porn video.exe
- Britney Spears sex photos.exe
- IE beta 7.exe
- jenna elfman sex anal deepthroat
- kate beckinsale nude pictures.exe
- miss america Porno, sex, oral, anal cool, awesome!!.exe
- paris hilton Porno pics arhive, xxx.exe
- Porno Screensaver.scr
- Serials 2005 database.exe
- Serials.txt.exe
- Windown Vista Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
Luego el gusano intenta infructuosamente descargar de diversos sitios web archivos de diferentes nombres y extensiones.
finalmente crea el Mutex "bagla_magla_super_downloader_1000" para incrementar el envío masivo de correo y la descarga de archivos
En su código se puede leer este texto:
In a difficult world
In a nameless time
I want to survive
So, you will be mine!!
-- Bagle Author, 29.04.04, Germany.
|
PER ANTIVIRUS® versión 9.6 con registro de virus al 16 de Febrero del 2006 detecta y elimina eficientemente este gusano.
