NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Propagación Media de nueva variante del gusano mass mail w32/Bagle@MM.

 

Nombre de virus: W32/Bagle.b@MM
Alias conocidos: I-Worm.Bagle.b, W32.Aula@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alo)
Propagación: Por correo electrónico
Activación: Por ejecución de fichero ejecutable (nombre aleatorio)
Detección: desde DATS 4324
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)

w32/Bagle.b@MM es un gusano mass-mailing con las siguientes características:

· contiene su propio motor SMTP para generar mensajes salientes

· recopila direcciones de email del equipo infectado

· la dirección original del campo From: es alterada, por lo que el remitente aparente no es el real.

· contiene un componente de acceso remoto (envía notificación a hacker)


Al igual que su predecesor (http://www.satinfo.es/web/noticies/2004/bagle.html), este gusano verifica la fecha del sistema. Si es 25 de Febrero de 2004 o posterior, el gusano simplemente finaliza su ejecución y no propaga.

En caso contrario, el virus ejecuta el Grabador de Sonido estandar de Windows (SNDREC32.EXE). Luego se copia en la carpeta Windows System como AU.EXE, por ejemplo:

· C:\WINNT\SYSTEM32\AU.EXE

Añade la siguiente clave al registro de sistema para provocar su ejecución al iniciar el equipo:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "au.exe" = C:\WINNT\SYSTEM32\AU.EXE

Adicionalmente, añade las siguientes dos claves de Registro:

· HKEY_CURRENT_USER\Software\Windows2000 "frn"

· HKEY_CURRENT_USER\Software\Windows2000 "gid"

 

Propagación por Correo
Este virus construye mensajes utilizando su propio motor SMTP. Las direcciones email destino las recopila de ficheros con las siguientes extensiones del equipo infectado:

· .WAB

· .TXT

· .HTM

· .HTML

 

El virus altera la dirección remitente del mensaje, utilizando una de las direcciones recopiladas anteriormente en su lugar.

Los mensajes tendrán el siguiente formato:

Remitente: (la dirección remitente no es la real)
Asunto : ID (cadena)... thanks
Mensaje :
Yours ID (cadena2)
--
Thank

Adjunto : nombre de fichero aleatorio (11,264 bytes)

donde "cadena" y "cadena2" son cadenas de texto aleatorias.

El virus evita enviarse a las direcciones que contienen lo siguiente:

· @hotmail.com

· @msn.com

· @microsoft

· @avp.

Componente de Acceso Remoto
El virus escucha en el puerto TCP 8866 a la espera de conexiones remotas, y lo notifica al autor(es) del virus via HTTP. Envía una solicitud GET (conteniendo el número de puerto y un "id") a un script PHP de servidor(es) remoto. Se recomienda a los usuarios que bloqueen el acceso a los siguientes dominios:

· http://www.47df.de

· http://www.strato.de

· http://intern.games-ring.de

· http://www.strato.de

 

Detección y eliminación

El gusano se controla desde los DAT 4324 , para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA .

SATINFO, VIRUSCAN SPAIN SERVICE 17 de Febrero de 2004

Anterior