Se
dispersa por correo masivo Bagle.AS
Nombre: Bagle.AS
Alias: I-Worm.Bagle.as, W32.Beagle.AR@mm, W32/Bagle.az@MM,
WORM_BAGLE.AM
Resumen:
Una nueva variante de Bagle.AS ha sido distribuida. Esta llega
en correo con un anexo de Price o de alguna broma, con extensión
exe, cpl, scr o com. El gusano contiene un backdoor que escucha
al puerto TCP 81 y a un puerto UDP. Bagle se disemina también
a través de aplicaciones peer-to-peer.
F-Secure a
puesto en nivel de alerta 2 a esta versión, debido a que
ha recibido una gran cantidad de reportes a nivel mundial sobre
el mismo.
Descripción detallada
Bagle
AS llega como un correo con anexo con los siguientes textos como
asunto:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
El anexo se compone de:
Price
price
Joke
Y tiene alguna de las siguientes extensiones.
.exe
.scr
.com
.cpl
Cuando se ejecuta, crea los siguientes archivos:
%windir%\cjector.exe
%windir%\system32\bawindo.exe
%windir%\system32\bawindo.exeopen
%windir%\system32\bawindo.exeopenopen
Posteriormente crea una llamada en el registro bajo la llave
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bawindo
Y pone su valor en %windir%\system32\bawindo.exe.
Bagle borra las siguientes llamadas del registro (si se encuentran
presentes)
"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
o "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
My AV
Zone Labs Client EX
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MyInfo
SysMonXP
EasyAV
PandaAVEngine
NortonAntivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Bagle.AS busca direcciones del disco duro local de los archivos
con estas extensiones.
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Posteriormente utiliza su motor SMTP para enviarse. Los mensajes
que se envían tienen una dirección de remitente
falsa. Para construir esta dirección Bagle AS ignora direcciones
que contengan las siguientes cadenas de letras:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kaspadmin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana.free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp
Propagación
Peer-to-peer
Bagle.AS busca carpetas que contengan las letras "shar"
y se copia usando los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Asimismo Termina
las aplicaciones de seguridad que se enlistan.
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
F-Secure detecta
y elimina esta versión de Bagle desde el 29 de Septiembre
del 2004
