NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Variante de virus w32/Bagle que propaga por email e incluye backdoor de acceso remoto.

 

Nombre de virus: W32/Bagle.u@MM
Alias conocidos: W32.Beagle.U
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución de fichero .EXE adjunto
Detección: desde DATS 4344
Motor necesario: desde 4.3.20
Infección actual: Inicial (Inicial, Media, Elevada)

Listas previas sobre w32/Bagle@MM y variantes:

w32/Bagle.b@MM 17-02-2004
w32/Bagle@MM    19-01-2004

w32/Bagle.u@MM es una nueva variante de w32/Bagle@MM, empaquetada con FSG.

Propagación por Correo Electrónico

Esta variante se envía masivamente por correo electrónico a todas las direcciones extraídas del equipo víctima. Las direcciones las recopila de los siguientes tipos de ficheros:

  • .wab
  • .txt
  • .msg
  • .htm
  • .shtm
  • .stm
  • .xml
  • .dbx
  • .mbx
  • .mdx
  • .eml
  • .nch
  • .mmf
  • .ods
  • .cfg
  • .asp
  • .php
  • .pl
  • .wsh
  • .adb
  • .tbb
  • .sht
  • .xls
  • .oft
  • .uin
  • .cgi
  • .mht
  • .dhtm
  • .jsp

 

Los mensajes de email tienen el siguiente formato:

 

Remitente: (es falso, utiliza una de las direcciones recopiladas)
Asunto: (en blanco)
Mensaje: (en blanco)
Adjunto: ejecutable de nombre aleatorio, con extensión .EXE

El gusano no se envía a direcciones que contengan lo siguiente:

  • @avp.
  • @microsoft

 

Componente de Acceso Remoto

El gusano también abre un puerto en el equipo infectado (puerto TCP 4751).

El gusano envía notificación vía HTTP a un script remoto (la notificación contiene número de puerto y número ID). Sería adecuado bloquear tráfico HTTP saliente hacia el siguiente dominio:

  • http://www.werde.de

 

 

Método de Infección

El gusano se copia en %SysDir% como GIGABIT.EXE, por ejemplo:

  • C:\WINNT\SYSTEM32\GIGABIT.EXE

 

Luego añade la siguiente clave de registro para provocar su carga al inicio del sistema:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Run
    "gigabit.exe" = %SysDir%\gigabit.exe

 

(donde %SysDir% es el directorio Windows System, p.e. C:\WINNT\SYSTEM32)

Crea la siguiente clave de registro:

  • HKEY_CURRENT_USER\Software\Windows2004

 

donde almacena dos valores, "fr1n" y "gsed".

El gusano comprueba durante su ejecución la fecha del sistema, y si esta es 1 de Enero de 2005 o posterior, finaliza su proceso.

 


Síntomas

  • Existencia de los nombre de fichero y claves de registro descritos arriba.
  • Puerto TCP 4751 abierto.
  • Tráfico HTTP saliente hacia el siguiente dominio:

    • o http://www.werde.de

  • La ejecución del gusano iniciará el juego MSHEARTS.EXE (Corazones)

 

 

Detección y eliminación

El gusano se controla desde los DAT 4344 , para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA.

SATINFO, VIRUSCAN SPAIN SERVICE 29 de Marzo de 2004

Anterior