Mensaje
por msc hotline sat » 01 Abr 2004, 12:48
Y sobre su última pregunta de repercusiones, visto gracias a Maura63 que se trata del conocido Bagle o Beagle, ofrezco a continuacion informacion de vsantivirus al respecto, donde se pueden apreciar, en castellano, mas características de este virus., como su propagación masiva por e-mail con remitente falso, lo cual impide avisar a los usuarios infectados, aparte de que su propagación tiene fecha límite el 25 de Abril pero del año que viene, que puede llegar en ficheros empaquetados ZIP con password, indicando dicho password en el mail, etc, pero no es destructivo, si es lo que quiere saber.
__________________________________________
W32/Bagle.K. El asunto contiene "e-mail account"
VSantivirus No. 1336 Año 8, jueves 4 de marzo de 2004
W32/Bagle.K. El asunto contiene "e-mail account"
http://www.vsantivirus.com/bagle-k.htm
Nombre: W32/Bagle.K
Tipo: Gusano de Internet
Alias: Bagle.K, I-Worm.Bagle.j, I-Worm.Bagle.k, W32.Beagle.K@mm, W32/Bagle.gen@MM, W32/Bagle.K.worm, W32/Bagle.k@MM, W32/Bagle-K, Win32.Bagle, Win32.Bagle.K, Win32.Bagle.K, Win32/Bagle.K, Win32/Bagle.K.Worm, Win32/Bagle.Variant.Worm, W32.Beagle.A@mm, WORM_BAGLE.GEN, WORM_BAGLE.K, ZIP.Bagle
Plataforma: Windows 32-bit
Tamaño: variable, 12,293 a 13,792 bytes (UPX) (agrega basura)
Puertos: TCP/2745
Fecha: 3/mar/04
Detectado el 3 de marzo de 2004, es una nueva variante del Bagle.
Los adjuntos poseen extensiones .EXE, .PIF o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en el propio texto del mensaje. Esto pretende eludir la detección de los antivirus (muchos ya han incluido una rutina para examinar este tipo de archivo).
Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios.
El ejecutable muestra el icono de un documento de WordPad.
El gusano puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso, y toma el mismo dominio del destinatario.
Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.
El mensaje que utiliza para su propagación es el siguiente:
De: [Dirección falsa]
management@[dominio]
administration@[dominio]
staff@[dominio]
noreply@[dominio]
support@[dominio]
Donde [dominio] es el mismo del destinatario.
Asunto: [uno de los siguientes]
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.
Texto: [1]+[2]+[3]+[4]+[5]+[6]
Donde el componente [1] puede ser uno de los siguientes:
Dear user of "[dominio]" mailing system,
Dear user of [dominio] gateway e-mail server,
Dear user of [dominio],
Dear user of e-mail server "[dominio]",
Dear user, the management of [dominio] mailing
system wants to let you know that,
Hello user of [dominio] e-mail server,
([dominio] es el mismo del que figura en el remitente)
El componente [2] puede ser uno de los siguientes textos:
Your e-mail account has been temporary disabled
because of unauthorized access.
Our main mailing server will be temporary
unavaible for next two days, to continue
receiving mail in these days you have to
configure our free auto-forwarding service.
Your e-mail account will be disabled because of
improper using in next three days, if you are
still wishing to use it, please, resign your
account information.
We warn you about some attacks on your e-mail
account. Your computer may contain viruses, in
order to keep your computer and e-mail account
safe, please, follow the instructions.
Our antivirus software has detected a large
ammount of viruses outgoing from your email
account, you may use our free anti-virus tool
to clean up your computer software.
Some of our clients complained about the spam
(negative e-mail content) outgoing from your
e-mail account. Probably, you have been
infected by a proxy-relay trojan server. In
order to keep your computer safe, follow the
instructions.
El componente [3] es seleccionado de las siguientes líneas:
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
For more information see the attached file.
Further details can be obtained from attached file.
Pay attention on attached file.
Please, read the attach for further details.
El componente [4] puede ser una de las siguientes frases (solo se incluye si el adjunto es un .ZIP con contraseña):
Attached file protected with the password for
security reasons. Password is [contraseña].
For security purposes the attached file is
password protected. Password is "[contraseña]".
For security reasons attached file is password
protected. The password is "[contraseña]".
In order to read the attach you have to use the
following password: [contraseña].
Donde [contraseña] es un número de cinco dígitos, siempre diferente, creada por una rutina del gusano.
El componente [5] puede ser uno de los siguientes:
Best wishes,
Cheers,
Have a good day,
Kind regards,
Sincerely,
The Management,
Y el componente [6] es siempre la siguiente línea:
The [dominio] team http://www.[dominio]
Donde [dominio] es también el mismo del remitente.
Datos adjuntos: [uno de los siguientes]
attach
document
info
information
message
moreinfo
readme
textdocument
textfile
Los adjuntos pueden tener las siguientes extensiones:
.exe
.pif
.zip
Los archivos .ZIP, como vimos, poseen contraseña (la que se muestra en el mensaje). El nombre del archivo contenido dentro del ZIP es generado al azar, con 5 a 9 caracteres seleccionados de la letra "a" a la "y", y con extensión .EXE.
Ejemplos:
hsafgbdvf.exe
darwe.exe
ttqdhga.exe
El ejecutable muestra el icono de los documentos de WordPad.
Mientras tanto, examina si la fecha actual es 25 de abril de 2005 o superior. Si lo es, finaliza su acción. En caso contrario, crea los siguiente archivos en la carpeta System de Windows:
c:\windows\system\winsys.exe
c:\windows\system\winsys.exeopen
c:\windows\system\winsys.exeopenopen
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ssate.exe = c:\windows\system\winsys.exe
Crea también la siguiente entrada para almacenar valores de su configuración actual:
HKCU\Software\DateTime
Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.htm
.mdx
.mmf
.msg
.nch
.ods
.php
.pl
.sht
.tbb
.txt
.uin
.wab
.xml
Ignora direcciones de correo que contengan las siguientes cadenas:
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@
El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
También intenta acceder a varios sitios de Internet, para notificar al autor vía HTTP, con una solicitud GET, cada determinada cantidad de tiempo, conectándose con un script PHP.
Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/2745, quedando a la espera de comandos. Esta opción sería usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior. Utiliza el parámetro -UPD para ello.
El gusano no se ejecuta después del 25 de abril de 2005. Si un archivo del gusano es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema.
También intenta finalizar los siguientes procesos:
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avltmain.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
El gusano contiene el siguiente texto oculto en su código:
Hey, NetSky, fuck off you bitch!
__________________________________________
Para su eliminación, desactive el antivirus residente o arranque en moido seguro, y , conforme indicado en anteriores post, lance el ELIBAGLA.EXE:
http://www.zonavirus.com/descargas/EliBaglA.exe
saludos
ms, 01-04-3004
msc hotline sat Virus Research Engineer