W32/Bagle.G@mm, W32/Beagle.G@mm, Backdoor/Beagle.G@mm

Bagle.G es un gusano residente en memoria variante de la familia Bagle, reportado el 1o de Marzo del 2004, de alta propagación masiva a través de mensajes de correo con un archivo binario de nombre aleatorio con la extensión .ZIP y una contraseña. Además se difunde a la mayoría de redes de compartimiento de archivos Peer to Peer.   

Abre un componente Backdoor que le permite recibir comandos del autor a través del puerto TCP 2745 y se conecta a varias direcciones URL ubicadas en Alemania, intentando ejecutar un Script PHP inexistente. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con un promedio de 23 KB de extensión.

El mensaje tiene las siguientes características: 

Remitente: emplea la técnica Spoofing con direcciones falsas.
Asunto, elegido aleatoriamente de:

• ^_^ meay-meay! 
• ^_^ meay-meay! 
• ^_^ mew-mew (-: 
• Aline 
• Anna 
• Audra 
• Bad girl 
• Barbi 
• beautiful 
• Caitie 
• caroline 
• ello! =)) 
• Fotograf 
• Gallery photos 
• groom 
• Hey, dude, it',27h,'s me ^_^ :P 
• Hey, ya! =)) 
• Hi! :-) 
• Hokki =) 
• Jammie 
• Juli 
• Julie 
• kate 
• Katrina 
• Katrina 
• Kelley 
• kleopatra 
• Lisa 
• Mandy 
• Mary 
• Mary-Anne 
• My beautiful person 
• My Name is Frenk 
• My photoalbum 
• My photos 
• Myphotos 
• Photoalbum 
• rebecca 
• Rena 
• Sara 
• stacy 
• Tammy 
• Wau... beautiful (-: 
• Weah, hello! :-) 
• Weeeeee! ;))) 

Contenido, elegido aleatoriamente de una extensa lista de frases:

• Argh, i don't like the plaintext :)
• Fell free to chat with me I accept all ages. Don''''t worry I don''''t bite........hope to hear from you soon!
• If you are going to make me cry, at least be there to wipe away the tears *Right now the worst thing for you to tell me that I can find someone better than you, especially when you are all I want
• You don’t know what you’ve got till it’s gone *You hurt me more than I deserve, how can you be so cruel? I love you more than you deserve, how can I be such a fool?
• I sit with elders of a gentle race, whose world is seldom seen.Who sit and talk of days for which they wait, when all will be revealed. These are song lyrics.
• I'm a social butterfly and a natural flirt. Very hard to get my complete attention. Very open and will answer almost anything. But please don't piss me off. I can be sweet and cuddly or a whatever mood I am in that day so everyday
• Love the outdoors, literature, writing, and athletics
• When The Trust is Gone So Is The Love That Fades Like the Rain Washing Away All The Sorrows Of Yesterday Why I Ask Myself Must It End Like This Tomorrow, I Tell Myself, I'll Be Okay For Now, I'll Just Live In The Memories Of Our Life Together
• I enjoy clean conversations but am open to conversing with women and men with little ones as well. I am very open-minded. All authorization requests will be denied if I don't receive messages and get to know you first.
• I love camping, dirt track racing, going for walks, and I have 2 cats - HotRod and Deebo (named from the movie 'Friday' and he lives up to it!). Life is ever changing, never always easy...
• i love to chat to just about anyone!!
• If I'm online, it problably means I'm pretty bored....so feel free to message me and say hi or whatever else comes to mind at the moment.
• Hey people whats goin on? If there is anything you want to know about me ask me... I am pretty easygoing I won't bite....not at first anywayz hahaa.....one thing I will say on here tho I am not into the Cyber thing so don't even ask.....Ciao...
• Hi! My name is Shreya and I am a goof off!!! So, If you love the outdoors, travelling, books, music, movies, laffing, teasing and/or can poke fun at yourself... please come a hollerin'!!
• I love to dance, read poetry, make people laugh, and hug as many people a day as i can.
• Single Mom of 3, Full time college student, Graduate in December with an Associates of Applied Science in Computer Information Systems Love the internet.
• My hobbies include crochet, sewing, painting lead figures and playing AD&D. Favorite activities include fishing and camping. I love cats, unicorns(go figure), and fantasy in general.
• I like to be in a company of smart, delicate, and with a good sense of humor people. I am Bulgarian, currently getting my Master's in International Business in USA. Favorite actor: Michael Dudikoff
• i'm tall and skiny I'm studying in Pharm. D program in FL. i like music, movie, dancing, sports, SCUBA diving, traveling and make a lot friends.
• Nice friends, nice men, nice sex and feeling great. I don't mind the odd bout of cybersex as I love to use my imagination when I masterbate.
• Hey, guys! by the way, I have no problems with my sexual life, so it's absolutly useless try to have icq sex or things like that. Thanks
• I'm an open minded person and enjoy chatting w/ other people. I'm free and willing to chat about anything. So feel free to Imed me if you wanna chat.
• I love meeting new people and making new friends. I am a Mary Kay Beauty Consultant. I am married to a wonderful man. We have no children, exept for a minature schnauzer that thinks he is a child. Looking forward to meeting you.
• I am from Taiwan but I study in Camden, New Jersey now. I like to know people from different places .
• I'm married and I stay at home. And I don't do cyber sex so leave me the f**k alone
• Looking forward for a response :P

El Contenido del mensaje incluye una de las siguientes líneas de texto: 

• password for archive: [number]
• pass: [number]
• password: [number]
• archive password: [number] 

Anexado, archivo binario de nombre aleatorio con extensión .ZIP protegido con una contraseña y con el icono de una carpeta de Windows:

Al ser activado el gusano crea un mutex (Exclusión Mutua) denominado imain_mutex para evitar ser ejecutado en memoria más de una vez. 

Se copia a la carpeta %System% con el nombre de i1ru54n4.exe y libera los siguientes archivos:

• i1ru54n4.exeopen (archivo i1ru54n4.exe comprimido en formato .ZIP enviado como anexado)
• go54o.exe (ejecutor del envío masivo de correo)
• ii5nj4.exe – (cargador del archivo .DLL) 

Simultáneamente inserta el ejecutor de envío de correo go54o.exe en el archivo Explorer.exe con el propósito de permanecer residente en memoria y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"rate.exe" = "%System%\i1ru54n4.exe"

Crea además la siguiente llave:

[HKEY_CURRENT_USER\Software\Winword "frun" = "1" 

Al siguiente re-inicio el gusano se activa en memoria y termina con los procesos de cualquiera de los sistemas de seguridad que tengan los siguientes archivos:

• ATUPDATER.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVLTMAIN.EXE
• AVPUPD.EXE
• AVWUPD32.EXE
• AVXQUAR.EXE
• CFIAUDIT.EXE
• DRWEBUPW.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• MCUPDATE.EXE
• NUPGRADE.EXE
• NUPGRADE.EXE
• OUTPOS1T.EXE
• UPDATE.EXE

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:

• ADB
• ASP
• CFG
• DBX
• EML
• HTM
• MDX
• MMF
• NCH
• ODS
• PHP
• PL
• SHT
• TBB
• TXT
• WAB
• XML

Emplea la técnica Email spoofing, que disfraza a los Remitentes y tiene una rutina que evita auto-enviarse a direcciones con las siguientes cadenas: 

• @avp
• @hotmail.com
• @microsoft
• @msn.com
• local
• noreply
• postmaster@
• root@

Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, con los siguientes nombres:

• ACDSee 9.exe
• Adobe Photoshop 9 full.exe
• Ahead Nero 7.exe
• Matrix 3 Revolution English Subtitles.exe
• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Office XP working Crack, Keygen.exe
• Microsoft Windows XP, WinXP Crack, working Keygen.exe
• Opera 8 New!.exe
• Porno pics arhive, xxx.exe
• Porno Screensaver.scr
• Porno, sex, oral, anal cool, awesome!!.exe
• Serials.txt.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• WinAmp 6 New!.exe
• Windown Longhorn Beta Leak.exe
• Windows Sourcecode update.doc.exe
• XXX hardcore images.exe

El gusano usa el IP 151.201.0.39 (actualmente deshabilitada) para resolver otras direcciones IP, en el caso que no pudiese encontrar un servidor DNS en las redes locales que infecte. 

Actuando como Backdoor el gusano se conecta remotamente a través del puerto TCP 2745 (TSB) para recibir comandos del autor del virus intentado además contactar varios sitios web ubicados en Alemania a los cuales invoca un Script con extensión PHP, el mismo que no existe:

• http://permail.uni-muenster.de/scr.php
• http://www.songtext.net/de/scr.php
• http://www.sportscheck.de/scr.php