Nueva variante de BAGLE.AY

Nombre: Bagle.AY
Alias: I-Worm.Bagle.AY, W32.Beagle.AY@mm, W32/Bagle.bk@MM

Este 27 de Enero en la mañana se encontró una nueva variante de Bagle, llamada Bagle AY la cual fue reportada en diferentes países. Esta variante es muy similar al Bagel AX, el cual es polimórfico y tiene la capacidad de enviarse por correo electrónico con diferentes asuntos y anexos. Así también tiene capacidades Peer to Peer para diseminarse. El gusano contiene un backdoor que escucha el puerto TCP 81-

Descripción detallada

Bagle.AY llega por correo electrónico empacado como un ejecutable. Si la fecha del sistema infectado es 2 de Abril del 2006 el gusano se desinstala del sistema borrando las llamadas del registro que auto-generó.

El gusano utiliza diferentes iconos para los anexos que manda, los cuales pueden ser:

Infección del Sistema

Cuando el archivo del gusano se ejecuta, se autocopia como sysformat.exe a la carpeta de sistema de Windows y crea una llave de inicio en el registro.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"sysformat" = "%SystemDir%\sysformat.exe"
donde %SystemDir% representa la carpeta de Windows System

El gusano crea otros 2 archivos en esta carpeta, que son:

sysformat.exeopen y
sysformat.exeopenopen, los cuales son utilizados para auto-enviarse en correos electrónicos.

Propagación por correo electrónico

Bagle.AY rastrea el disco duro en búsqueda de direcciones de correo. Para lo cual verifica las siguientes extensiones.

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

El gusano ignora direcciones que contengan cualquiera de las siguientes cadenas de texto.

@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
@avp.
noreply
local
root@
postmaster@

Bagle.AY se disemina por correo electrónico, obteniendo aleatoriamente el asunto de los mensajes. El gusano puede anexarse a los correos como un archivo ejecutable con las siguientes extensiones. COM, EXE, SCR y CPL.

Cuando se disemina usando un archivo de Windows Control Panel Applet (CPL), el gusano agrega un pequeño código binario a su archivo ejecutable. Posteriormente el archivo CPL es activado, se copia como un archivo cjector.exe file al fólder de Windows y posteriormente deja el archivo del gusano en la carpeta de Windows System.

Bagle.AY utiliza las siguientes cadenas de texto como mensajes en los correos infectados

Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Para el cuerpo del mensaje obtiene el texto de una lista predefinida que incluye:
Thanks for use of our software
Before use read the help

Los nombres de los anexos pueden ser cualquiera de los siguientes con
extensión EXE, SCR, COM, y CPL:

wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03
Backdoor

El gusano tiene un backdoor que escucha el puerto 81, el cogido del mismo esta encriptado con contraseña. El autor del gusano que conoce el password puede conectarse de manera remota a la computadora infectada y ejecutar programas de manera arbitraria. Las computadoras infectadas se reportan al autor del gusano a través de diferentes URLs.

Descarga y ejecución de archivos

El gusano intenta descargar y ejecutar un archivo de esta lista predefinida de URLs, El archivo que se descarga se guarda en el disco bajo el siguiente nombre:

%SystemDir%\re_file.exe

Propagación a través de clientes Peer-to-Peer

Bagle.AY es capaz de diseminarse a carpetas compartidas o clientes Peer-to-Peer . Rastrea todos los drives que se encuentren disponibles y si encuentra algún fólder con la cadena de texto 'shar' , el gusano se autocopia con alguno de los siguientes nombres

1.exe
2.exe
3.exe
4.exe
5.exe
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Cambiando iconos

Cuando el gusano se copia a una carpeta compartida o se envía como un anexo de correo, cambia el icono del ejecutable. El icono se obtiene de manera aleatoria del disco duro de la computadora infectada.
Terminando el software de seguridad

Bagle.AY termina los procesos de software de seguridad y antivirus así como otras aplicaciones. Los siguientes procesos son terminados

mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe

F-Secure detecta esta nueva variante con las firmas del 27 De Enero del 2005, recuerde mantener actualizado su antivirus y no abra archivos de correo que no este seguro del remitente.