aerial25
28-04-2004, 14:36
Detectada en las últimas horas una importante propagación de la nueva variante del gusano Bagle que, entre otras formas de envío, puede simular ser un mensaje de una mujer, contando con diferentes fotografías que incluye en los e-mails para dotarlos de mayor realismo.
Además de autoenviarse desde los sistemas infectados por e-mail e intentar propagarse por las redes de intercambio P2P, el gusano incluye una puerta trasera que permite a un atacante acceder de forma remota a los ordenadores afectados.
Desde su detección existe cierta confusión en su denominación, ya que según la casa antivirus puede aparecer con el sufijo W, X, Y, Z o AA:
eTrustAV -> Win32/Bagle.W.Worm
Kaspersky -> I-Worm.Bagle.y
McAfee -> W32/Bagle.z@MM
NOD32 -> Win32/Bagle.X
Norman -> Bagle.AA@mm
Panda -> W32/Bagle.AA.worm
Sophos -> W32/Bagle-W
Sybari -> I-Worm.Bagle.Y
Symantec -> W32.Beagle.W@mm
TrendMicro -> WORM_BAGLE.X
Por si los diferentes sufijos no fueran suficiente, hay que añadir además que esta variante de Bagle se puede presentar de diversas formas, como por ejemplo un dropper en un archivo .VBS, o en un
.ZIP protegido con contraseña, lo que a su vez origina nuevas
denominaciones como "Win32/Bagle.X.dropper" o "W32/Bagle.z!vbs", entre otras.
A modo de resumen, esta nueva versión de Bagle se propaga a través del correo electrónico con diferentes textos y tipos de archivo, además se copia en las carpetas del sistema que contengan la cadena "shar" en su nombre, que coincide con los directorios de archivos compartidos de varias aplicaciones P2P como KaZaa, Bearshare o Limewire.
En su faceta como troyano, el gusano instala una puerta trasera en el puerto TCP 2535 para permitir la entrada al ordenador de forma remota.
Desinfección manual
En caso de infección, es posible desinfectar el sistema con unos sencillos pasos:
* Reiniciar el sistema en Modo Seguro (pulsando la tecla F8 antes de que comience la carga de Windows).
* Borrar del directorio sistema de Windows (por defecto c:\Windows\system o c:\Winnt\system32) los siguientes archivos:
drvsys.exe
drvsys.exeopen
drvsys.exeopenopen
* Borrar la entrada "drvsys.exe" en la siguiente clave del registro de Windows (con la utilidad regedit.exe):
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Así nos llega por e-mail
El mensaje, en el que se propaga a través del correo electrónico, tiene las siguientes características:
Remitente (puede ser uno de los siguientes):
lizie@[dominio]
annie@[dominio]
ann@[dominio]
christina@[dominio]
secretGurl@[dominio]
jessie@[dominio]
christy@[dominio]
Asunto (puede ser uno de los siguientes):
Hello!
Hey!
Let's socialize, my friend!
Let's talk, my friend!
I'm bored with this life
Notify from a known person ;-)
I like you
I just need a friend
I'm a sad girl...
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document
Hello [nombre],
Dear [nombre],
Dear [nombre], It's me ;-)
Hi [nombre],
Hey [nombre], It's me ->
Hi, It's me
[nombre],
Hey [nombre],
Hey,
Hello,
Hi,
I Like You!
Don't you remember me?
Kewl :-)
I need a friend...
I just want to talk with someone...
I like reading the books and socializing, let me talk with you...
It's time to find a friend!
cuerpo:
Está compuesto por varias secciones en las que puede seleccionar
diferentes textos, si bien los omitimos por espacio, ya que listar
todas las opciones sería muy extenso y no se considera información
estrictamente necesaria. Como muestra un ejemplo de los diferentes
cuerpos que puede componer el gusano:
Hey [nombre destinatario],
It's me -> [fotografía JPG de una mujer]
Searching for the right person,for real man, who will really cares and love me.
For details see the attach.
Cheers, Christy
Adjunto:
Formado por alguno de los siguientes nombres:
Information
Details
Readme
Document
Info
Details
MoreInfo
Message
Con alguna de las siguientes extensiones:
.hta
.vbs
.exe
.scr
.com
.cpl
.zip (protegido con contraseña)
El archivo comprimido con contraseña puede contener en su interior, además del ejecutable del gusano con un nombre al azar, otros archivos con extensión .txt, .doc, .vxd, .bat o .dll, en un intento de modificar el tamaño y aspecto del .ZIP para dificultar la labor de detección por parte de los antivirus.
La contraseña, que permite al usuario descomprimir el archivo .ZIP protegido, se encuentra en el cuerpo del mensaje infectado.
Infección y propagación
Si un usuario ejecuta el archivo infectado, aparecerá una ventana con el siguiente texto: "Can't find a viewer associated with the file."
A continuación el gusano se copia con los nombres drvsys.exe, drvsys.exeopen y drvsys.exeopenopen en la carpeta de sistema de Windows. Además incluye una entrada en el registro de Windows, descrita anteriormente en el apartado de desinfección manual, para asegurarse la ejecución del gusano en cada inicio de sistema.
El gusano contiene una larga lista de nombres (omitida por su extensión) correspondientes a procesos de antivirus, firewalls personales, y otras soluciones de seguridad, que podrían poner trabas a su misión. Si encuentra alguno de estos procesos en memoria procede a finalizarlos.
Para propagarse por e-mail, el gusano recolecta las direcciones de correo electrónico que encuentra en los archivos del sistema infectado con extensión .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx
.mht .mmf .msg .nch .ods .oft .php .pl .sht .stm .tbb .shtm .txt .uin
.wab .wsh .xls .xml
A la hora de enviarse, evita hacerlo a direcciones que contengan algunas de las siguientes cadenas: @hotmail @msn @microsoft rating@
f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@
info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux
listserv certific sopho @foo @iana free-av @messagelab winzip google
winrar samples abuse panda cafee spam pgp @avp. noreply local root@
postmaster@
En un intento de propagarse a través de las redes P2P, el gusano se copia en las carpetas que contengan la cadena "shar" con los siguientes nombres de archivos:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
De forma que estos ejecutables, que simulan diversos programas y utilidades, y que en realidad contienen el código del gusano, pasarán a ser compartidos en las redes P2P y podrán ser descargados por otros usuarios que se infectarán si los llegan a ejecutar.
Puerta trasera
Como ya comentamos, el gusano instala una puerta trasera en los sistemas infectados a través del puerto TCP 2535. En lo que parece un intento de notificar al creador del gusano las direcciones de los sistemas infectados, el gusano llama a un script PHP en diferentes sitios webs.
Fuente: Hispasec
Además de autoenviarse desde los sistemas infectados por e-mail e intentar propagarse por las redes de intercambio P2P, el gusano incluye una puerta trasera que permite a un atacante acceder de forma remota a los ordenadores afectados.
Desde su detección existe cierta confusión en su denominación, ya que según la casa antivirus puede aparecer con el sufijo W, X, Y, Z o AA:
eTrustAV -> Win32/Bagle.W.Worm
Kaspersky -> I-Worm.Bagle.y
McAfee -> W32/Bagle.z@MM
NOD32 -> Win32/Bagle.X
Norman -> Bagle.AA@mm
Panda -> W32/Bagle.AA.worm
Sophos -> W32/Bagle-W
Sybari -> I-Worm.Bagle.Y
Symantec -> W32.Beagle.W@mm
TrendMicro -> WORM_BAGLE.X
Por si los diferentes sufijos no fueran suficiente, hay que añadir además que esta variante de Bagle se puede presentar de diversas formas, como por ejemplo un dropper en un archivo .VBS, o en un
.ZIP protegido con contraseña, lo que a su vez origina nuevas
denominaciones como "Win32/Bagle.X.dropper" o "W32/Bagle.z!vbs", entre otras.
A modo de resumen, esta nueva versión de Bagle se propaga a través del correo electrónico con diferentes textos y tipos de archivo, además se copia en las carpetas del sistema que contengan la cadena "shar" en su nombre, que coincide con los directorios de archivos compartidos de varias aplicaciones P2P como KaZaa, Bearshare o Limewire.
En su faceta como troyano, el gusano instala una puerta trasera en el puerto TCP 2535 para permitir la entrada al ordenador de forma remota.
Desinfección manual
En caso de infección, es posible desinfectar el sistema con unos sencillos pasos:
* Reiniciar el sistema en Modo Seguro (pulsando la tecla F8 antes de que comience la carga de Windows).
* Borrar del directorio sistema de Windows (por defecto c:\Windows\system o c:\Winnt\system32) los siguientes archivos:
drvsys.exe
drvsys.exeopen
drvsys.exeopenopen
* Borrar la entrada "drvsys.exe" en la siguiente clave del registro de Windows (con la utilidad regedit.exe):
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Así nos llega por e-mail
El mensaje, en el que se propaga a través del correo electrónico, tiene las siguientes características:
Remitente (puede ser uno de los siguientes):
lizie@[dominio]
annie@[dominio]
ann@[dominio]
christina@[dominio]
secretGurl@[dominio]
jessie@[dominio]
christy@[dominio]
Asunto (puede ser uno de los siguientes):
Hello!
Hey!
Let's socialize, my friend!
Let's talk, my friend!
I'm bored with this life
Notify from a known person ;-)
I like you
I just need a friend
I'm a sad girl...
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document
Hello [nombre],
Dear [nombre],
Dear [nombre], It's me ;-)
Hi [nombre],
Hey [nombre], It's me ->
Hi, It's me
[nombre],
Hey [nombre],
Hey,
Hello,
Hi,
I Like You!
Don't you remember me?
Kewl :-)
I need a friend...
I just want to talk with someone...
I like reading the books and socializing, let me talk with you...
It's time to find a friend!
cuerpo:
Está compuesto por varias secciones en las que puede seleccionar
diferentes textos, si bien los omitimos por espacio, ya que listar
todas las opciones sería muy extenso y no se considera información
estrictamente necesaria. Como muestra un ejemplo de los diferentes
cuerpos que puede componer el gusano:
Hey [nombre destinatario],
It's me -> [fotografía JPG de una mujer]
Searching for the right person,for real man, who will really cares and love me.
For details see the attach.
Cheers, Christy
Adjunto:
Formado por alguno de los siguientes nombres:
Information
Details
Readme
Document
Info
Details
MoreInfo
Message
Con alguna de las siguientes extensiones:
.hta
.vbs
.exe
.scr
.com
.cpl
.zip (protegido con contraseña)
El archivo comprimido con contraseña puede contener en su interior, además del ejecutable del gusano con un nombre al azar, otros archivos con extensión .txt, .doc, .vxd, .bat o .dll, en un intento de modificar el tamaño y aspecto del .ZIP para dificultar la labor de detección por parte de los antivirus.
La contraseña, que permite al usuario descomprimir el archivo .ZIP protegido, se encuentra en el cuerpo del mensaje infectado.
Infección y propagación
Si un usuario ejecuta el archivo infectado, aparecerá una ventana con el siguiente texto: "Can't find a viewer associated with the file."
A continuación el gusano se copia con los nombres drvsys.exe, drvsys.exeopen y drvsys.exeopenopen en la carpeta de sistema de Windows. Además incluye una entrada en el registro de Windows, descrita anteriormente en el apartado de desinfección manual, para asegurarse la ejecución del gusano en cada inicio de sistema.
El gusano contiene una larga lista de nombres (omitida por su extensión) correspondientes a procesos de antivirus, firewalls personales, y otras soluciones de seguridad, que podrían poner trabas a su misión. Si encuentra alguno de estos procesos en memoria procede a finalizarlos.
Para propagarse por e-mail, el gusano recolecta las direcciones de correo electrónico que encuentra en los archivos del sistema infectado con extensión .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx
.mht .mmf .msg .nch .ods .oft .php .pl .sht .stm .tbb .shtm .txt .uin
.wab .wsh .xls .xml
A la hora de enviarse, evita hacerlo a direcciones que contengan algunas de las siguientes cadenas: @hotmail @msn @microsoft rating@
f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@
info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux
listserv certific sopho @foo @iana free-av @messagelab winzip google
winrar samples abuse panda cafee spam pgp @avp. noreply local root@
postmaster@
En un intento de propagarse a través de las redes P2P, el gusano se copia en las carpetas que contengan la cadena "shar" con los siguientes nombres de archivos:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
De forma que estos ejecutables, que simulan diversos programas y utilidades, y que en realidad contienen el código del gusano, pasarán a ser compartidos en las redes P2P y podrán ser descargados por otros usuarios que se infectarán si los llegan a ejecutar.
Puerta trasera
Como ya comentamos, el gusano instala una puerta trasera en los sistemas infectados a través del puerto TCP 2535. En lo que parece un intento de notificar al creador del gusano las direcciones de los sistemas infectados, el gusano llama a un script PHP en diferentes sitios webs.
Fuente: Hispasec