Bagle.b, nuevo gusano de propagación masiva
Llega adjunto en el correo electrónico en un archivo con nombre
aleatorio y extensión .EXE.
Algunos textos fijos en el asunto y el cuerpo del mensaje permiten
identificarlo de forma fácil a simple vista. El gusano incluye una
puerta trasera que se abre en los sistemas infectados en el puerto
TCP/8866. El creador del gusano lo ha programado para que deje
ejecutarse después del 25 de febrero.
El asunto del mensaje
donde viaja Bagle.B comienza por ID, seguido de unos caracteres
aleatorios, y finaliza con … thanks. El cuerpo del mensaje comienza
por Yours ID, seguido de una cadena aleatoria, y finaliza con Thank.
A continuación reproducimos el aspecto deun mensaje infectado:
De: [dirección de e-mail falseada]
Para: dirección e-mail del
destinatario
Asunto: ID mdjpvgkgqik… thanks
Cuerpo:
Yours ID
lmxlirpbr
– —
Thank
Adjunto: pwxyicp.exe
El
ejecutable, comprimido con UPX, tiene un tamaño de unos 11Kbs
(11.264bytes). Si el usuario abre el archivo, el gusano ejecuta la
Grabadora de sonidos de Windows (sndrec32.exe) en un intento de engañar
al usuario, mientras que de forma oculta comienza su rutina de infección
del sistema y propagación.
En primer lugar realiza una copia
del ejecutable infectado en el directorio de sistema de Windows con el
nombre de archivo au.exe, e introduce la siguiente entrada en el
registro de Windows para asegurarse su ejecución cada vez que el usuario
inicie el sistema:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunau.exe
= %system%au.exe
Adicionalmente el gusano crea esta
otra entrada en el registro:
HKEY_CURRENT_USERSOFTWAREWindows2000
Para propagarse el gusano
busca direcciones de correo en el sistema infectado, recolectando los
e-mails que encuentra en los archivos con extensión .WAB, .TXT, .HTM y
.HTML. Utilizando su propio motor SMTP, se autoenvía a las diferentes
direcciones recolectadas, con la excepción de aquellas cuyo dominio sea
@hotmail.com, @msn.com, @microsoft o @avp. El gusano falsifica el e-mail
de remite, de forma que no corresponderá al usuario realmente infectado
desde cuyo sistema se está enviando el gusano.
De forma
periódica intenta conectar con los siguientes sitios webs, incluyendo en
la petición el puerto abierto en el sistema infectado e ID, en lo que
parece ser un sistema de notificación ideado por el creador del virus
para tener controlados los sistemas infectados:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
Por defecto el gusano abre una puerta
trasera en el puerto TCP/8866, utilizando otro puerto en el caso de que
éste no estuviera disponible. A través de él, un atacante con acceso a
dicho puerto, podría ejecutar comandos, descargar y ejecutar
aplicaciones, todo de forma remota.
Prevención
Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente instaladas
y puntualmente actualizadas. También resulta útil seguir los foros de
seguridad o listas como una-al-día, para estar al tanto de las últimas
amenazas que nos pueden afectar.
La reacción de las diferentes
soluciones antivirus, en ofrecer la actualización pertinente a sus
usuarios para detectar el nuevo gusano, ha sido la siguiente:
Sophos 17/02/2004 14:06:46 :: W32/Tanx-A
Panda 17/02/2004 14:23:37 ::
W32/Yourid.A.worm
NOD32 17/02/2004 14:54:52 :: Win32/Bagle.B
Kaspersky 17/02/2004 14:55:02 :: I-Worm.Bagle.b
TrendMicro 17/02/2004
17:33:58 :: WORM_BAGLE.B
McAfee 17/02/2004 17:53:08 :: W32/Bagle.b@MM
Estos datos pertenecen a las soluciones antivirus monitorizadas 24hx7d por el
laboratorio de Hispasec. Donde las horas mencionadas son hora española
(GMT+1). Comentarios adicionales:
Panda, que reconoció la muestra
infectada a las 14:23:37 como W32/Yourid.A.worm, lo detecta como
W32/Bagle.B.worm a partir de la actualización registrada a las
17:15:53.
NOD32, que incluyó la firma específica a las 14:54:52
reconociéndolo como Win32/Bagle.B, nos informa de que su motor
residente, que incluye la función de heurística avanzada, ya reconocía
este espécimen sin necesidad de la firma