Bagle.X

BAGLE.W, gusano/backdoor de Correo y P2P de propagación masiva, recibe comandos vía puerto TCP, etc.

W32/Bagle.W@mm, W32/Beagle.W@mm, Backdoor/Beagle.W@mm

Bagle.W es un gusano residente en memoria variante de la familia Bagle, reportado el 27 de Abril del 2004 de alta propagación masiva a través de mensajes de correo con un archivo de nombre aleatorio y extensiones .EXE, .COM, .SCR, .CPL o .ZIP (en este último caso con una contraseña).

Deshabilita antivirus, Firewalls y software de Control y Seguridad. Además se difunde vía la mayoría de redes de compartimiento de archivos Peer to Peer.

Abre un componente Backdoor que le permite recibir comandos del autor a través del puerto TCP 2535 y que puede recibir órdenes y ejecutar comandos del autor, en forma remota en los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con extensiones variables y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

wab
txt
msg
htm
shtm
stm
xml
dbx
mbx
mdx
eml
nch
mmf
ods
cfg
asp
php
pl
wsh
adb
tbb
sht
xls
oft
uin
cgi
mht
dhtm
jsp

El mensaje tiene las siguientes características:

Remitente: emplea la técnica Spoofing con el dominio del remitente infectado y uno de los siguientes nombres:

lizie@
annie@
ann@
christina@
secretGurl@
jessie@
christy@

Asunto, elegido aleatoriamente de uno de los siguientes:

Hello!
Hey!
Let's socialize, my friend!
Let's talk, my friend!
I'm bored with this life
Notify from a known person ;-)
I like you
I just need a friend
I'm a sad girl...
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document
Hello %,
Dear %,
Dear %, It's me ;-)
Hi %,
Hey %, It's me -]
Hi[!--%--], It's me
%s,
Hey %,
Hey[!--%--],
Hello[!--%--],
Hi [!--%s--],
I Like You!
Don't you remember me?
Kewl :-)
I need a friend...
I just want to talk with someone...
I like reading the books and socializing, let me talk with you...
It's time to find a friend!
Ready to accept a new friend? :-)
Like me, odore me! ;-)

Nota: el símbolo "%" es un nombre aleatorio.

Contenido, construido de 3 listas de componentes aleatorios.

Componente 1

I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire. I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever. Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love! I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going. I have recently got demobilize from army and also I am going to act in a higher educational institution Searching for the right person,for real man, who will really cares and love me. I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure. I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love. I like an active life... and interesting people.. i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny. I'm a young lady of 20 years old i'd like to find my second part!!! I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man... I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs. I love productive leisure, to travel, communicate with friends. I very much love new acquaintances, I love music, meetings with friends. I go on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue... I'm so bored, let me talk with you... You are my prince :-) You are cool :-) Componente 2 Read the attach. Your file is attached. More info is in attach See attach. Please, have a look at the attached file. See the attached file for details. Message is in attach Here is the file. For more information see the attached file. Attached file will tell you everything. For details see the attach. Attached file tells everything. Further details are in attach. Componente 3 Sincerely, [nombre_aleatorio] Best wishes, [nombre_aleatorio] Yours, [nombre_aleatorio] Have a good day, [nombre_aleatorio] Cheers, [nombre_aleatorio] Kind regards, [nombre_aleatorio] Anexado, uno de los siguientes nombres: Information Details Readme Document Info Details MoreInfo Message Seguido de una de las extensiones: exe com scr cpl zip Si el archivo anexado tiene la extensión ZIP, estará protegido con un password y el contenido del mensaje hará referencia al mismo, mientras que los de extensión EXE y CPL muestran un icono gráfico: For security reasons attached file is password protected. The password is [referencia_al_gráfico] For security purposes the attached file is password protected. Password -- [referencia_al_gráfico] Note: Use password [referencia_al_gráfico] to open archive. Attached file is protected with the password for security reasons. Password is [referencia_al_gráfico] In order to read the attach you have to use the following password: [referencia_al_gráfico] Archive password: [referencia_al_gráfico] Password - [referencia_al_gráfico] Password: [referencia_al_gráfico] Al ser ejecutado el gusano muestra esta caja de diálogo: Luego se copia a la carpeta %System% con los nombres: drvsys.exe drvsys.exeopen drvsys.exeopenopen Y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "drvsys.exe" = "%System%\drvsys.exe" [HKEY_CURRENT_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "drvsys.exe" = "%System%\drvsys.exe" Al siguiente re-inicio el gusano se activa en memoria y termina con los procesos de cualquiera de los sistemas de seguridad que tengan los siguientes archivos: AGENTSVR.EXE ANTI-TROJAN.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVGSERV9.EXE AVLTMAIN.EXE AVprotect9x.exe AVPUPD.EXE AVSYNMGR.EXE AVWUPD32.EXE AVXQUAR.EXE BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE CDP.EXE CFGWIZ.EXE CFGWIZ.EXE CFIADMIN.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFIAUDIT.EXE CFINET.EXE CFINET.EXE CFINET32.EXE CFINET32.EXE CLEAN.EXE CLEAN.EXE CLEANER.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CLEANPC.EXE CMGRDIAN.EXE CMGRDIAN.EXE CMON016.EXE CMON016.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CV.EXE CWNB181.EXE CWNTDWMO.EXE DEFWATCH.EXE DEPUTY.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEBUPW.EXE ENT.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE EXANTIVIRUS-CNET.EXE FAST.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN_TRIAL.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE FSAV530WTBYB.EXE FSAV95.EXE GBMENU.EXE GBPOLL.EXE GUARD.EXE GUARDDOG.EXE HACKTRACERSETUP.EXE HTLOG.EXE HWPE.EXE IAMAPP.EXE IAMAPP.EXE IAMSERV.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPP95.EXE ICSUPPNT.EXE IFW2000.EXE IPARMOR.EXE IRIS.EXE JAMMER.EXE KAVLITE40ENG.EXE KAVPERS40ENG.EXE KERIO-PF-213-EN-WIN.EXE KERIO-WRL-421-EN-WIN.EXE KERIO-WRP-421-EN-WIN.EXE KILLPROCESSSETUP161.EXE LDPRO.EXE LOCALNET.EXE LOCKDOWN.EXE LOCKDOWN2000.EXE LSETUP.EXE LUALL.EXE LUCOMSERVER.EXE LUINIT.EXE MCAGENT.EXE MCUPDATE.EXE MCUPDATE.EXE MFW2EN.EXE MFWENG3.02D30.EXE MGUI.EXE MINILOG.EXE MOOLIVE.EXE MRFLUX.EXE MSCONFIG.EXE MSINFO32.EXE MSSMMC32.EXE MU0311AD.EXE NAV80TRY.EXE NAVAPW32.EXE NAVDX.EXE NAVSTUB.EXE NAVW32.EXE NC2000.EXE NCINST4.EXE NDD32.EXE NEOMONITOR.EXE NETARMOR.EXE NETINFO.EXE NETMON.EXE NETSCANPRO.EXE NETSPYHUNTER-1.2.EXE NETSTAT.EXE NISSERV.EXE NISUM.EXE NMAIN.EXE NORTON_INTERNET_SECU_3.0_407.EXE NPF40_TW_98_NT_ME_2K.EXE NPFMESSENGER.EXE NPROTECT.EXE NSCHED32.EXE NTVDM.EXE NUPGRADE.EXE NVARCH16.EXE NWINST4.EXE NWTOOL16.EXE OSTRONET.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE PADMIN.EXE PANIXK.EXE PAVPROXY.EXE PCC2002S902.EXE PCC2K_76_1436.EXE PCCIOMON.EXE PCDSETUP.EXE PCFWALLICON.EXE PCFWALLICON.EXE PCIP10117_0.EXE PDSETUP.EXE PERISCOPE.EXE PERSFW.EXE PF2.EXE PFWADMIN.EXE PINGSCAN.EXE PLATIN.EXE POPROXY.EXE POPSCAN.EXE PORTDETECTIVE.EXE PPINUPDT.EXE PPTBC.EXE PPVSTOP.EXE PROCEXPLORERV1.0.EXE PROPORT.EXE PROTECTX.EXE PSPF.EXE PURGE.EXE PVIEW95.EXE QCONSOLE.EXE QSERVER.EXE RAV8WIN32ENG.EXE REGEDIT.EXE REGEDT32.EXE RESCUE.EXE RESCUE32.EXE RRGUARD.EXE RSHELL.EXE RTVSCN95.EXE RULAUNCH.EXE SAFEWEB.EXE SBSERV.EXE SD.EXE SETUP_FLOWPROTECTOR_US.EXE SETUPVAMEEVAL.EXE SFC.EXE SGSSFW32.EXE SH.EXE SHELLSPYINSTALL.EXE SHN.EXE SMC.EXE SOFI.EXE SPF.EXE SPHINX.EXE SPYXX.EXE SS3EDIT.EXE ST2.EXE SUPFTRL.EXE SUPPORTER5.EXE SYMPROXYSVC.EXE SYSEDIT.EXE TASKMON.EXE TAUMON.EXE TAUSCAN.EXE TC.EXE TCA.EXE TCM.EXE TDS2-98.EXE TDS2-NT.EXE TDS-3.EXE TFAK5.EXE TGBOB.EXE TITANIN.EXE TITANINXP.EXE TRACERT.EXE TRJSCAN.EXE TRJSETUP.EXE TROJANTRAP3.EXE UNDOBOOT.EXE UPDATE.EXE VBCMSERV.EXE VBCONS.EXE VBUST.EXE VBWIN9X.EXE VBWINNTW.EXE VCSETUP.EXE VFSETUP.EXE VIRUSMDPESRNO@MGHSDV@MM/DXE VNLAN300.EXE VNPC3000.EXE VPC42.EXE VPFW30S.EXE VPTRAY.EXE VSCENU6.02D30.EXE VSECOMR.EXE VSHWIN32.EXE VSISETUP.EXE VSMAIN.EXE VSMON.EXE VSSTAT.EXE VSWIN9XE.EXE VSWINNTSE.EXE VSWINPERSE.EXE W32DSM89.EXE W9X.EXE WATCHDOG.EXE WEBSCANX.EXE WGFE95.EXE WHOSWATCHINGME.EXE WHOSWATCHINGME.EXE WINRECON.EXE WNT.EXE WRADMIN.EXE WRCTRL.EXE WSBGATE.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZAUINST.EXE ZONALM2601.EXE ZONEALARM.EXE El gusano posee su propio SMTP (Simple Mail Transfer Protocol) para auto-enviarse masivamente a los buzones de correo contenidos en los archivos con las extensiones: ADB ASP CFG DBX EML HTM MDX MMF NCH ODS PHP PL SHT TBB TXT WAB XML Emplea la técnica Email spoofing, que disfraza a los Remitentes y tiene una rutina que evita auto-enviarse a direcciones con las siguientes cadenas: @avp @hotmail.com @microsoft @msn.com local noreply postmaster@ root@ Para propagarse a través de las redes Peer to Peer se copia a las carpetas de descarga que tengan la cadena de texto shar, que corresponden a Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire., etc. en caso de estar instaladas, con los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Luego el gusano intenta ejecutar un Script PHP de una de las siguientes direcciones en la web: http://www.spiegel.de http://www.leipziger-messe.de http://www.mobile.de http://www.neformal.de http://www.avh.de http://www.goethe.de http://www.degruyter.de http://www.heise.de http://www.autoscout24.de http://www.russische-botschaft.de http://www.bmbf.de http://www.berlinale.de http://www.hamann-motorsport.de http://Spaceclub.de http://www.fracht-24.de http://www.loveparade.de http://www.dalnoboyshik.de http://www.deutschland.de http://www.ac-schnitzer.de http://abakan.strana.de http://www.emis.de http://www.dwd.de http://www.ifdesign.de http://www.beckers-systems.de http://www.pri-wo-hamburg.de http://virtualzone.de http://www.mitsumi.de http://www.fu-berlin.de http://www.nabu.de http://www.tekeli.de http://www.welt.de http://www.gospel-nations.de http://www.neznakomez.de http://www.tecchannel.de http://www.php-resource.de http://www.windac.de http://www.gsi.de http://www.turism.de http://jakimov.golos.de http://www.www.mirko-becker.gmxhome.de http://vg.xtonne.de http://www.go-amman.de http://3treepoint.com http://www.restarted-alliance.de http://2udar.ligakvn.de http://www.sprach-zertifikat.de http://www.dfg.de http://www.kliniken.de http://www.winfuture.de http://www.hamburg.de http://www.auma.de http://www.teac.de http://www.eumetsat.de http://www.documenta.de http://hardvision.ru http://www.bruecke-osteuropa.de http://www.mk-motorsport.de http://www.bundesregierung.de http://ditec.um.es http://www.insel-ruegen-hotel.de http://www.tib.uni-hannover.de http://www.chugai.de http://www.blauer-engel.de http://www.partner-inform.de http://250x.com http://villakinderbunt.de http://s318.evanzo-server.de http://andimeisslein.de http://tobimayer.de http://markusgimenez.de http://www.fiz-karlsruhe.de http://www.gdch.de http://www.intermatgmbh.de http://www.hotel-pension-spree.de http://vg.xtonne.de http://www.low-spirit.de http://www.red-dot.de http://www.fernuni-hagen.de http://www.ruletka.de http://www.deutsch-als-fremdsprache.de http://www.uni-oldenburg.de http://fotos.schneider.bards.de http://www.deutsches-museum.de http://www.de-bug.de http://www.uni-stuttgart.de http://www.embl-heidelberg.de http://www.mdz-moskau.de http://www.mitsubishi-evs.de http://www.siegenia-aubi.com http://www.cicv.fr http://www.paromi.de http://www.jura.uni-sb.de http://www.exactaudiocopy.de Actuando como Backdoor el gusano se conecta remotamente a través del puerto del puerto TCP 2535 para recibir comandos del autor y ejecutar comandos. El gusano tiene una rutina que verificará si la fecha del sistema es 25 de Enero del 2005 y se auto-destruirá. Sus payloads son los siguientes: Se propaga en mensajes de correo, con un archivo de nombres aleatorios, con extensiones EXE, COM, SCR, CPL o ZIP, en este último caso protegido con una contraseña que es incluida en el Contenido del mensaje. Usa la técnica Spoofing para disfrazar al Remitente. Los Asuntos y Contenidos son elegidos aleatoriamente de una lista contenida en el código del virus. Al ser activado, el gusano muestra una falsa caja de diálogo. Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía haciendo uso de direcciones de correo extraídas de archivos de ciertas extensiones. También se difunde a través de las redes Peer to Peer cuyos software se encuentren instalados en los sistemas infectados. Termina los procesos de una larga lista de antivirus, firewall y software de seguridad. Actuando como backdoor el gusano se conecta remotamente a través del puerto TCP 2535 para recibir comandos del autor del virus. Intenta conectarse a varios sitios web tratando de ejecutar un Script PHP inexistente. Si la fecha del sistema es 25 de Enero del 2005 el gusano se auto-elimina. PER ANTIVIRUS® versión 8.6 con registro de virus al 27 de Abril del 2004 detecta y elimina eficientemente este gusano/backdoor.