Propagación de nueva variante del gusano “Bagle”

Los inicios

Se propaga por e-mail y redes P2P, entre otras características destaca por incluir una puerta trasera que permite a un atacante externo hacerse con el control de la máquina infectada.

En esta ocasión sólo NOD32 destaca por ser capaz de detectar a esta variante por heurística, de forma que sus usuarios estaban protegidos en el momento que comenzó su propagación:

NOD32v2 probably unknow NewHeur_PE

El resto de antivirus se actualizaron con firmas específicas en los siguientes tiempos (hora de España):

Kaspersky 28.09.2004 20:25 :: I-Worm.Bagle.as

ClamWin 28.09.2004 20:51 :: Worm.Bagle.AP

BitDefender 28.09.2004 21:42 :: Win32.Bagle.AU@mm

McAfee 28.09.2004 21:48 :: W32/Bagle.az@MM

NOD32v2 28.09.2004 22:19 :: Win32/Bagle.AQ

F-Prot 28.09.2004 22:24 :: W32/Bagle.AM.worm

Panda 28.09.2004 22:40 :: W32/Bagle.BB.worm

TrendMicro 28.09.2004 23:10 :: WORM_BAGLE.AM

Norton 29.09.2004 00:05 :: W32.Beagle.AR@mm

InoculateIR 29.09.2004 00:17 :: Win32/Bagle.18883.Worm

Sophos 29.09.2004 03:10 :: W32/Bagle-AZ

Norman 29.09.2004 10:25 :: Bagle.AO@mm

Nomenclatura

Destaca la cantidad de sufijos diferentes utilizados para nombrar a esta variante según el motor antivirus: as, AP, AU, az, AQ, AM, BB, AR, 18883 y AO. Sin duda, la homogeneización en la nomenclatura de virus y demás malware está aun muy verde y necesita de un mayor consenso entre las diferentes casas antivirus.

Desde el punto de vista técnico parece, a priori, relativamente fácil establecer un mecanismo para lograr este objetivo. Por ejemplo, podrían utilizarse nombres temporales durante las primeras horas y, una vez realizada la puesta en común, asignarle el nombre genérico acordado en la siguiente actualización de forma dinámica.

El problema que se intuye de fondo parece ser más de marketing que puramente técnico o logístico.

Descripción del gusano

Cuando llega por e-mail, lo hace desde un mensaje con la dirección de remite falseada, y uno de los siguientes asuntos:

Re:

Re: Hello

Re: Thank you!

Re: Thanks :)

Re: Hi

En el cuerpo del mensaje sólo incluye alguno de los siguientes iconos a modo de sonrisa:

:)

:))

El archivo adjunto infectado puede tener extensión .exe, .scr, .com o .cpl, y uno de los siguientes nombres:

Price

price

Joke

En el caso de las redes P2P, el gusano se copia en todas las carpetas cuyo nombre contenga la cadena “shar”, que coincide con algunos directorios de archivos compartidos que utilizan por defecto las aplicaciones P2P más comunes. Los nombres con que puede aparecer en estas carpetas y, por tanto, en las redes P2P, son:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Cuando se ejecuta en un sistema, realiza una copia de si mismo en la carpeta de sistema de Windows con los nombres de archivo bawindo.exe, bawindo.exeopen y bawindo.exeopenopen.

Como suele ser habitual, también introduce la típica entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

“bawindo” = %System%”bawindo.exe”

El componente backdoor o puerta trasera queda a la escucha en el puerto TCP/81.

Otros inconvenientes

Otras acciones que lleva a cabo en el sistema son eliminar los procesos en memoria correspondientes a utilidades antivirus y similares que pudieran entorpecer su labor, según la siguiente lista:

alogserv.exe

APVXDWIN.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

Avconsol.exe

AVENGINE.EXE

AVPUPD.EXE

Avsynmgr.exe

AVWUPD32.EXE

AVXQUAR.EXE

blackd.exe

ccApp.exe

ccEvtMgr.exe

ccProxy.exe

ccPxySvc.exe

CFIAUDIT.EXE

DefWatch.exe

DRWEBUPW.EXE

ESCANH95.EXE

ESCANHNT.EXE

FIREWALL.EXE

FrameworkService.exe

ICSSUPPNT.EXE

ICSUPP95.EXE

LUALL.EXE

LUCOMS~1.EXE

mcagent.exe

mcshield.exe

MCUPDATE.EXE

mcvsescn.exe

mcvsrte.exe

mcvsshld.exe

navapsvc.exe

navapw32.exe

NISUM.EXE

nopdb.exe

NPROTECT.EXE

NUPGRADE.EXE

OUTPOST.EXE

PavFires.exe

pavProxy.exe

pavsrv50.exe

Rtvscan.exe

RuLaunch.exe

SAVScan.exe

SHSTAT.EXE

SNDSrvc.exe

symlcsvc.exe

UPDATE.EXE

UpdaterUI.exe

Vshwin32.exe

VsStat.exe

VsTskMgr.exe

Devorando direcciones

Para enviarse a otros usuarios por e-mail, a través de su propio motor SMTP, busca direcciones de correo en los archivos que localiza en el sistema con alguna de las siguientes extensiones:

.wab

.txt

.msg

.htm

.shtm

.stm

.xml

.dbx

.mbx

.mdx

.eml

.nch

.mmf

.ods

.cfg

.asp

.php

.pl

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

.jsp

Autoenvío

El gusano también incluye un listado para evitar enviarse a las direcciones de correo que contengan alguna de las siguientes cadenas:

@hotmail

@msn

@microsoft

rating@

f-secur

news

update

anyone@

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

kasp

admin

icrosoft

support

ntivi

unix

bsd

linux

listserv

certific

sopho

@foo

@iana

free-av

@messagelab

winzip

google

winrar

samples

abuse

panda

cafee

spam

pgp

@avp.

noreply

local

root@

postmaster@

Descargas

Por último, el gusano intenta descargar el archivo WS.JPG desde los siguientes sitios web, pero hasta el momento en ninguno de ellos está disponible:

www.24-7-transportation.com

www.adhdtests.com

www.aegee.org

www.aimcenter.net

www.alupass.lu

www.amanit.ru

www.andara.com

www.angelartsanctuary.com

www.anthonyflanagan.com

www.approved1stmortgage.com

www.argontech.net

www.asianfestival.nl

www.atlantisteste.hpg.com.br

www.aviation-center.de

www.bbsh.org

www.bga-gsm.ru

www.boneheadmusic.com

www.bottombouncer.com

www.bradster.com

www.buddyboymusic.com

www.bueroservice-it.de

www.calderwoodinn.com

www.capri-frames.de

www.celula.com.mx

www.ceskyhosting.cz

www.chinasenfa.com

www.cntv.info

www.compsolutionstore.com

www.coolfreepages.com

www.corpsite.com

www.couponcapital.net

www.cpc.adv.br

www.crystalrose.ca

www.cscliberec.cz

www.curtmarsh.com

www.customloyal.com

www.DarrkSydebaby.com

www.deadrobot.com

www.dontbeaweekendparent.com

www.dragcar.com

www.ecofotos.com.br

www.elenalazar.com

www.ellarouge.com.au

www.esperanzaparalafamilia.com

www.eurostavba.sk

www.everett.wednet.edu

www.fcpages.com

www.featech.com

www.fepese.ufsc.br

www.firstnightoceancounty.org

www.flashcorp.com

www.fleigutaetscher.ch

www.fludir.is

www.freeservers.com

www.FritoPie.NET

www.gamp.pl

www.gci-bln.de

www.gcnet.ru

www.generationnow.net

www.gfn.org

www.giantrevenue.com

www.glass.la

www.handsforhealth.com

www.hartacorporation.com

www.himpsi.org

www.idb-group.net

www.immonaut.sk

www.ims-i.com

www.innnewport.com

www.irakli.org

www.irinaswelt.de

www.jansenboiler.com

www.jasnet.pl

www.jhaforpresident.7p.com

www.jimvann.com

www.jldr.ca

www.justrepublicans.com

www.kencorbett.com

www.knicks.nl

www.kps4parents.com

www.kradtraining.de

www.kranenberg.de

www.lasermach.com

www.leonhendrix.com

www.magicbottle.com.tw

www.mass-i.kiev.ua

www.mepbisu.de

www.mepmh.de

www.metal.pl

www.mexis.com

www.mongolische-renner.de

www.mtfdesign.com

www.oboe-online.com

www.ohiolimo.com

www.onepositiveplace.org

www.oohlala-kirkland.com

www.orari.net

www.pankration.com

www.pe-sh.com

www.pfadfinder-leobersdorf.com

www.pipni.cz

www.polizeimotorrad.de

www.programmierung2000.de

www.pyrlandia-boogie.pl

www.raecoinc.com

www.realgps.com

www.redlightpictures.com

www.reliance-yachts.com

www.relocationflorida.com

www.rentalstation.com

www.rieraquadros.com.br

www.scanex-medical.fi

www.sea.bz.it

www.selu.edu

www.sigi.lu

www.sljinc.com

www.smacgreetings.com

www.soloconsulting.com

www.spadochron.pl

www.srg-neuburg.de

www.ssmifc.ca

www.sugardas.lt

www.sunassetholdings.com

www.szantomierz.art.pl

www.the-fabulous-lions.de

www.tivogoddess.com

www.tkd2xcell.com

www.topko.sk

www.transportation.gov.bh

www.travelchronic.de

www.traverse.com

www.uhcc.com

www.ulpiano.org

www.uslungiarue.it

www.vandermost.de

www.vbw.info

www.velezcourtesymanagement.com

www.velocityprint.com

www.vikingpc.pl

www.vinirforge.com

www.wecompete.com

www.worest.com.ar

www.woundedshepherds.com

www.wwwebad.com

www.wwwebmaster.com