Esta variante de W32/Bagle presenta las siguientes características:
- empaquetado con PeX
- contiene su propio motor SMTP para generar mensajes salientes. Falsea
la dirección del remitente (campo From:).
- recopila direcciones de email del equipo infectado
- se copia a carpetas locales del equipo infectado (a carpetas que
contengan la cadena 'shar')
- finaliza procesos asociados con varios productos de
seguridad/antivirus
- utiliza varios nombres mutex seleccionados de los que han sido
utilizados por variantes de W32/Netsky, para evitar que dichas variantes de W32/Netsky se
ejecuten en máquinas infectadas
- elimina entradas de registro de programas de seguridad y de otros
gusanos
- abre el puerto 81 para escucha.
Síntomas
Cuando se ejecuta, el gusano se instala
en el equipo infectado, dentro de la carpeta de sistema de Windows, con el nombre
WINGO.EXE. Por ejemplo:
- C:\WINNT\SYSTEM32\WINGO.EXE
Añade la siguiente clave de registro para
interceptar el inicio del sistema:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "wingo" = C:\WINNT\SYSTEM32\WINGO.EXE
Crea la siguiente clave de registro para
almacenar datos (dentro de una clave "TimeKey"):
- HKEY_CURRENT_USER\Software\Params
Adicionalmente, el virus genera múltiples
copias de sí mismo en el directorio Windows system, añadiendo la cadena "open"
al nombre del fichero. Por ejemplo:
- C:\WINNT\SYSTEM32\WINGO.EXEOPEN
- C:\WINNT\SYSTEM32\WINGO.EXEOPENOPEN
- etc
También abre el puerto 81 (TCP) en el equipo
infectado.
Crea un mutex para asegurarse que sólo se
ejecute una instancia del gusano a la vez. Uno de los siguientes mutex se utiliza para
intentar detener la ejecución de variantes concretas de W32/Netsky en el equipo:
- {z4wMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
Propagación por Correo Electrónico
El virus genera mensajes salientes utilizando su propio motor SMTP. Las direcciones
email destino se recopilan del equipo infectado. Busca en ficheros con las siguientes
extensiones:
- .wab
- .txt
- .msg
- .htm
- .shtm
- .stm
- .xml
- .dbx
- .mbx
- .mdx
- .eml
- .nch
- .mmf
- .ods
- .cfg
- .asp
- .php
- .pl
- .wsh
- .adb
- .tbb
- .sht
- .xls
- .oft
- .uin
- .cgi
- .mht
- .dhtm
- .jsp
Los mensajes salientes se construyen utilizando asunto, cuerpo de mensaje y nombre de
fichero adjunto variable.
Falsea la dirección remitente (campo From: ).
Asunto: La línea del asunto es una de la siguientes:
- Re:
- Re: Hello
- Re: Thank you!
- Re: Thanks :)
- Re: Hi
Mensaje: El cuerpo del mensaje será uno de los siguientes:
Adjunto: El adjunto es un ejecutable de nombre:
con una de las siguientes extensiones:
El virus no se envía por correo a direcciones que contengan las siguientes cadenas:
- @hotmail
- @msn
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- google
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
Propagación P2P
El gusano se copia utilizando nombres atractivos a las carpetas del equipo infectado
que contienen la cadena 'shar' . Utiliza los siguientes nombres de
fichero:
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Microsoft Office XP working Crack, Keygen.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
Payload de Finalización de Procesos
El virus finliza los siguientes procesos si están en ejecución en el sistema
infectado:
- mcagent.exe
- mcvsshld.exe
- mcshield.exe
- mcvsescn.exe
- mcvsrte.exe
- DefWatch.exe
- Rtvscan.exe
- ccEvtMgr.exe
- NISUM.EXE
- ccPxySvc.exe
- navapsvc.exe
- NPROTECT.EXE
- nopdb.exe
- ccApp.exe
- Avsynmgr.exe
- VsStat.exe
- Vshwin32.exe
- alogserv.exe
- RuLaunch.exe
- Avconsol.exe
- PavFires.exe
- FIREWALL.EXE
- ATUPDATER.EXE
- LUALL.EXE
- DRWEBUPW.EXE
- AUTODOWN.EXE
- NUPGRADE.EXE
- OUTPOST.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- ESCANH95.EXE
- AVXQUAR.EXE
- ESCANHNT.EXE
- ATUPDATER.EXE
- AUPDATE.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVXQUAR.EXE
- AVWUPD32.EXE
- AVPUPD.EXE
- CFIAUDIT.EXE
- UPDATE.EXE
- NUPGRADE.EXE
- MCUPDATE.EXE
- pavsrv50.exe
- AVENGINE.EXE
- APVXDWIN.EXE
- pavProxy.exe
- navapw32.exe
- navapsvc.exe
- ccProxy.exe
- navapsvc.exe
- NPROTECT.EXE
- SAVScan.exe
- SNDSrvc.exe
- symlcsvc.exe
- LUCOMS~1.EXE
- blackd.exe
- bawindo.exe
- FrameworkService.exe
- VsTskMgr.exe
- SHSTAT.EXE
- UpdaterUI.exe
Componente BackDoor
El gusano abre el puerto 81 (TCP) en el equipo infectado. Una vez elpuerto está a la
escucha, el hacker puede conectar al equipo infectado, y ejecutar un fichero en la misma.
Eliminación de Entradas de Registro
En las dos ubicaciones de inicio siguientes
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
borra las siguientes llaves de otros gusanos y productos de seguridad:
- My AV
- Zone Labs Client Ex
- 9XHtProtect
- Antivirus
- Special Firewall Service
- service
- Tiny AV
- ICQNet
- HtProtect
- NetDy
- Jammer2nd
- FirewallSvr
- MsInfo
- SysMonXP
- EasyAV
- PandaAVEngine
- Norton Antivirus AV
- KasperskyAVEng
- SkynetsRevenge
- ICQ Net
Detección y eliminación
