W32/Bagle.I@mm, W32/Beagle.I@mm, Backdoor/Beagle.I@mm

Bagle.I es un gusano residente en memoria variante de la familia Bagle, reportado el 2 de Marzo del 2004, de alta propagación masiva a través de mensajes de correo con un archivo binario de nombre aleatorio con la extensión .ZIP y una contraseña, el mismo que contiene un archivo con extensión .EXE, además se difunde a la mayoría de redes de compartimiento de archivos Peer to Peer.   

Su componente Backdoor le permite recibir comandos del autor a través del puerto TCP 2745 y se conecta a varias direcciones URL ubicadas en Alemania, intentando ocasionar un ataque DoS con el comando HTTP GET por el puerto TCP 80. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con extensiones que varían entre 18 y 22 KB y comprimido con el utilitario PeX (el mismo que ha sido modificado)

http://protools.anticrack.de/packers.htm

El mensaje tiene las siguientes características: 

Remitente: emplea la técnica Spoofing con direcciones falsas.
Asunto, elegido aleatoriamente de:

• Hokki =)
• Weah, hello! :-)
• Weeeeee! ;)))
• Hi! :-)
• :-)
• ello! =))
• Hey, ya! =))
• meay-meay!
• meay-meay!
• mew-mew (-:
• Hey, dude, it's me
• :P       

Contenido, elegido aleatoriamente de una extensa lista de frases:

• Hey, dude, it's me
• :P 
• Argh, i don't like the plaintext :)
• I don't bite, weah!
• Looking forward for a response :P   

El Contenido del mensaje incluye una de las siguientes líneas de texto: 

• archive password: [número]
• password: [número]
• password -- [número]
• pass: [número]
• [número] -- archive password
• ...btw, "[número]" is a password for archive
• password for archive: [número]     

Anexado, archivo binario de nombre aleatorio con extensión .ZIP protegido con una contraseña y con el icono de una carpeta de Windows: 

• Attach
• TextDocument
• Readme
• Msg.
• MsgInfo
• Document
• Info
• AttachedFile.
• AttachedDocument
• TextDocument
• Text
• TextFileLetter
• MoreInfo
• Message       

Al ser activado el gusano crea un mutex (Exclusión Mutua) denominado imain_mutex para evitar ser ejecutado en memoria más de una vez. 

Se copia a la carpeta %System% con el nombre de i11ru54n4.exe y libera los siguientes archivos:

• i11r54n4.exeopen (archivo i11ru54n4.exe comprimido en formato .ZIP enviado como anexado)
• go154o.exe (ejecutor del envío masivo de correo)
• i1i5n1j4.exe – (cargador del archivo .DLL) 

Simultáneamente inserta el ejecutor de envío de correo go154o.exe en el archivo Explorer.exe con el propósito de permanecer residente en memoria y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"rate.exe" = "%\System%\i11r54n4.exe"

Crea además la siguiente llave:

[HKEY_CURRENT_USER\Software\Winwor] 

Al siguiente re-inicio el gusano se activa en memoria y termina con los procesos de cualquiera de los sistemas de seguridad que tengan los siguientes archivos:

• ATUPDATER.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVLTMAIN.EXE
• AVPUPD.EXE
• AVWUPD32.EXE
• AVXQUAR.EXE
• CFIAUDIT.EXE
• DRWEBUPW.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• MCUPDATE.EXE
• NUPGRADE.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• UPDATE.EXE

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones:

• ADB
• ASP
• CFG
• DBX
• EML
• HTM
• MDX
• MMF
• NCH
• ODS
• PHP
• PL
• SHT
• TBB
• TXT
• WAB
• XML

Emplea la técnica Email spoofing, que disfraza a los Remitentes y tiene una rutina que evita auto-enviarse a direcciones con las siguientes cadenas: 

• @avp
• @hotmail.com
• @microsoft
• @msn.com
• local
• noreply
• postmaster@
• root@

Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, con los siguientes nombres:

• ACDSee 9.exe
• Adobe Photoshop 9 full.exe
• Ahead Nero 7.exe
• Matrix 3 Revolution English Subtitles.exe
• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Office XP working Crack, Keygen.exe
• Microsoft Windows XP, WinXP Crack, working Keygen.exe
• Opera 8 New!.exe
• Porno pics arhive, xxx.exe
• Porno Screensaver.scr
• Porno, sex, oral, anal cool, awesome!!.exe
• Serials.txt.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• WinAmp 6 New!.exe
• Windown Longhorn Beta Leak.exe
• Windows Sourcecode update.doc.exe
• XXX hardcore images.exe

El gusano usa el IP 151.201.0.39 (actualmente deshabilitada) para resolver otras direcciones IP, en el caso que no pudiese encontrar un servidor DNS en las redes locales que infecte. 

Actuando como Backdoor el gusano se conecta remotamente a través del puerto TCP 2745 (TSB) para recibir comandos del autor del virus intentado además intenta ocasionar ataques DoS por saturación, con comandos HTTP GET a través del puerto TCP 80 a los siguientes sitios web ubicados en Alemania:

• http://postertog.de/
• http://www.gfotxt.net/
• http://www.maiklibis.de/

El gusano verifica si la fecha del sistema es 25 de Marzo o superior y de serlo, se auto-elimina borrando sus llaves de registro y archivo ejecutable.

Sus payloads son los siguientes:

• Se propaga en mensajes de correo, con un archivo binario de nombre aleatorio, con la extensión .ZIP protegido con una contraseña, la misma que es incluida en el Contenido o Cuerpo del mensaje.
• Usa la técnica Spoofing para disfrazar al Remitente.
• Los Asuntos y Contenido son elegidos aleatoriamente de una lista contenida en el código del virus. 
• Al ser activado, el gusano crea un mutex mientras se copia a la carpeta %System% liberando diversos componentes.
• Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía haciendo uso de direcciones de correo extraídas de archivos de ciertas extensiones.
• Evita enviarse a buzones de correo con determinadas cadenas.
• También se difunde a través de las redes Peer to Peer cuyos software se encuentren instalados en los sistemas infectados.   
• Actuando como backdoor el gusano se conecta remotamente a través del puerto TCP 2745 para recibir comandos del autor del virus.
• Se conecta a varios sitios web ubicados en Alemania tratando de ocasionar un ataque DoS.
• Si la fecha del sistema es 25 de Marzo o superior el gusano se auto-elimina borrando sus llaves de registro y archivo ejecutable.