W32/Bagle@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano mass mail que instala componente de acceso remoto

Nombre de virus: W32/Bagle@MM
Alias conocidos: I-Worm.Bagle , W32.Beagle.A@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución de fichero adjunto
Detección: desde DATS 4316
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)

W32/Bagle@MM es un gusano mass-mail de Internet que se propaga en un mensaje de correo con el siguiente formato:

Remitente: (la dirección puede estar alterada)
Asunto: Hi
Mensaje:
Test =)
(caracteres aleatorios)
--
Test, yep.

Adjunto: (nombre de fichero aleatorio) 15,872 bytes

Cuando se ejecuta el adjunto, el virus comprueba si la fecha del sistema es 28 de Enero de 2004 o posterior, en cuyo caso finaliza su ejecución. En caso contrario, el virus ejecuta el programa estándar de calculadora de Windows, CALC.EXE, mientras se copia al directorio WINDOWS SYSTEM (%SysDir%) como bbeagle.exe , y crea una clave de registro para cargarse al inicio del sistema:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe

Genera dos claves adicionales:

· HKEY_CURRENT_USER\Software\Windows98 "frun"

· HKEY_CURRENT_USER\Software\Windows98 "uid"

Componente mass-mail
El gusano recopila direcciones de los siguientes ficheros y envía mensajes a estos destinatarios, utilizando su propio motor SMTP:

· .wab

· .txt

· .htm

· .html

El virus modifica la dirección remitente del mensaje, utilizando una dirección de las recopiladas en el equipo infectado.

Componente de Acceso Remoto
El virus escucha conexiones remotas en el puerto TCP 6777. Intenta notificar al autor de la infección que el sistema está esperando comandos. Para ello, contacta a diferentes websites, llamando a un script PHP ubicado en sites remotos.

· www.elrasshop.de

· www.it-msc.de

· www.getyourfree.net

· www.dmdesign.de

· 64.176.228.13

· www.leonzernitsky.com

· 216.98.136.248

· 216.98.134.247

· www.cdromca.com

· www.kunst-in-templin.de

· vipweb.ru

· antol-co.ru

· www.bags-dostavka.mags.ru

· www.5x12.ru

· bose-audio.net

· www.sttngdata.de

· wh9.tu-dresden.de

· www.micronuke.net

· www.stadthagen.org

· www.beasty-cars.de

· www.polohexe.de

· www.bino88.de

· www.grefrathpaenz.de

· www.bhamidy.de

· www.mystic-vws.de

· www.auto-hobby-essen.de

· www.polozicke.de

· www.twr-music.de

· www.sc-erbendorf.de

· www.montania.de

· www.medi-martin.de

· vvcgn.de

· www.ballonfoto.com

· www.marder-gmbh.de

· www.dvd-filme.com

· www.smeangol.com

Detección y eliminación
El gusano se controla desde los DAT 4316 , para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA .

SATINFO, VIRUSCAN SPAIN SERVICE 19 de Enero de 2004