Nueva variante de Bagle

Detección temprana

En la madrugada del 1 de septiembre se ha detectado el envío masivo, a modo de spam, de una nueva variante de Bagle. Aunque en unas primeras horas se ha detectado una incidencia significativa, hay diversos factores que apuntan a la progresiva y veloz desaparición del mismo.

Las siguientes soluciones antivirus destacan por detectar a esta nueva variante bien por heurística o firma genérica:

– McAfee :: W32/Bagle.dll.dr

– Symantec :: Download.Ject.C

– Norman :: W32/Malware

– Panda :: Fichero sospechoso

Panda también ha distribuido una firma específica a las 10:33:51 del 01.09.2004 con la denominación “W32/Bagle.AV.worm”.

Norman y Panda eran capaces de detectarlo incluso meses antes de la aparición del gusano, McAfee desde el 11.08.2004, y Symantec desde el 29.08.2004. En cualquier caso, todas estas soluciones detectaban a la variante antes de su aparición, de forma que sus usuarios estaban protegidos en el momento que comenzó su propagación.

El resto de antivirus se actualizaron con firmas específicas en los siguientes tiempos (hora de España):

– F-Prot 01.09.2004 00:34:31 :: W32/Newstuff.06

– ClamWin 01.09.2004 00:59:47 :: Trojan.Dropper.Small-11

– Kaspersky 01.09.2004 02:01:25 :: Exploit.CodeBaseExec

– Nod32v2 01.09.2004 02:06:29 :: Exploit/CodeBaseExec

– Sophos 01.09.2004 04:39:27 :: Troj/BagleDl-A

– BitDefender 01.09.2004 08:54:22 :: Trojan.Dropper.Small.KV

Estos datos son obtenidos por VirusTotal . Agradecemos a los usuarios las muestras de este espécimen enviadas a VirusTotal, que permitieron una detección temprana del mismo

Descripción del espécimen

El sistema de propagación de esta nueva variante de Bagle es por sí mismo su propio talón de Aquiles. En primer lugar han distribuido de forma masiva, con técnicas de spam (no se replicaba por si mismo), un ZIP que contenía en su interior un archivo HTML y un ejecutable .EXE.

El primer mensaje que llegó al laboratorio de Hispasec tenía las siguientes características:

– Remite: [falso]

– Asunto: foto

– Cuerpo: foto

– Adjunto: fotos.zip

En el archivo fotos.zip, de aproximadamente 4,5KB, podíamos encontrar una foto.htm de 111 bytes y un calc.exe de 12.800 bytes. Hemos recibido otros mensajes con algunas diferencias en los textos y nombres de archivo utilizados, aunque coinciden en utilizar un archivo ZIP conteniendo tanto el HTL como el EXE.

El archivo HTML contiene un script que ejecuta el EXE, éste se copia como doriot.exe en la carpeta de sistema de Windows, donde escribe además un segundo ejecutable gdqfw.exe. Como suele ser habitual en estos casos, añade también unas entradas en el registro de Windows en las claves RUN para asegurarse su ejecución en cada inicio de sistema.

El ejecutable instalado en el sistema no es un gusano (no se propaga por sí mismo), sino una especie de troyano que tiene como misión finalizar la ejecución de varios procesos de antivirus que pudieran estar activos en el sistema y desactivar el firewall de Windows, para evitar así ser detectado, además de intentar descargar lo que podría ser nuevos componentes del gusano teniendo como fuente 131 sitios webs de Internet. El talón de Aquiles viene por este sistema de descarga de componentes, ya que en este momento no está disponible el archivo que intenta descargar de los diferentes sitios webs, por lo que no se ha podido llevar a cabo una hipotética segunda fase como gusano. Por contra, prácticamente todos los antivirus ya lo detectan y es posible la desinfección de los equipos que se hayan infectado.

Aun en el hipotético caso de que aparecieran en las próximas horas nuevos componentes en alguna de las webs que chequea el troyano, es de esperar una rápida reacción por parte de las casas antivirus ya que poseen las URLs extraídas del código y pueden detectar de inmediato su disponibilidad.