Versiones de w32/Bagle@MM c,d,e


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Propagación Media de nuevas variantes del gusano mass mail w32/Bagle@MM.

Los pasados días 01 y 17 de Febrero de 2004 enviamos sendas notas informativas sobre la propagación de nuevos gusanos mass mail, w32/Bagle@MM y su variante w32/Bagle.b@MM.

El pasado fin de semana se ha reportado de manera masiva la presencia de nuevas versiones de este gusano, y debido a su importante propagación se han publicado nuevas versiones de archivos DAT. En estos momentos disponemos de DAT 4330 en web.

W32/Bagle.c@MM: es un gusano mass-mailing con las siguientes características:

contiene su propio motor SMTP para generar mensajes salientes

recopila direcciones de email del equipo infectado

la dirección original del campo From: es alterada, por lo que el remitente aparente no es el real.

contiene un componente de acceso remoto (envía notificación a hacker)

Los mensajes son construidos de la siguiente forma:

From : (dirección falsa)
Body : (cuerpo del mensaje vacio)
Subject :

Accounts department

Ahtung!

Camila

Daily activity report

Flayers among us

Freedom for everyone

From Hair-cutter

From me

Greet the day

Hardware devices price-list

Hello my friend

Hi!

Jenny

Jessica

Looking for the report

Maria

Melissa

Monthly incomings summary

New Price-list

Price

Price list

Pricelist

Price-list

Proclivity to servitude

Registration confirmation

The account

The employee

The summary

USA government abolishes the capital punishment

Weekly activity report

Well...

You are dismissed

You really love me? he he

Anexo: nombre aleatorio como fichero ZIP (~16KB)

El fichero EXE que se encuentra dentro del zip tiene el siguiente icono simulando ser un archivo de MS Excel

El gusano verifica la fecha del sistema y si es 14 de Marzo 2004 o posterior, simplemente no se propaga.

Una vez ejecutado el fichero, abre el Bloc de Notas con una hoja en blanco, también se copia en el directorio del sistema como README.EXE.

Ejemplo:

C:\WINNT\SYSTEM32\README.EXE

También genera otros ficheros en este directorio para crear sus funciones:

onde.exe (18.944 bytes) - DLL para generar mailing
doc.exe (1.536 bytes) - cargador DLL
readme.exeopen (~16KB) - ZIP a ser enviado por email

Añade la siguiente llave en el registro de sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "gouday.exe" = C:\WINNT\SYSTEM32\README.EXE

Adicionalmente, añade las siguientes llaves:

HKEY_CURRENT_USER\Software\DateTime2 "frun"
HKEY_CURRENT_USER\Software\DateTime2 "uid"
HKEY_CURRENT_USER\Software\DateTime2 "port"

El gusano intenta finalizar los procesos de aplicaciones de seguridad con los siguientes nombres:

ATUPDATER.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVLTMAIN.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

NUPGRADE.EXE

OUTPOST.EXE

UPDATE.EXE

Método de propagación:

Construye mensajes que envía utilizando su propio motor SMTP, y las direcciones que utiliza como destinatarios las recoge del los siguientes ficheros del equipo infectado:

.ADB

.ASP

.CFG

.DBX

.EML

.HTM

.HTML

.MDX

.MMF

.NCH

.ODS

.PHP

.PL

.SHT

.TXT

.WAB

la dirección del remitente también la extrae de uno de los ficheros anteriores.

El gusano no se envía a las direcciones que contengan lo siguiente:

@avp.

@hotmail.com

@microsoft

@msn.com

local

noreply

postmaster@

root@

El gusano abre una conexión remota en el puerto 2745 y notifica al autor indicando que el equipo infectado ya está preparado para recibir sentencias, para contactar a diversos sitios web, llamar a scripts PHP en sitios remotos.

w32/Bagle.d@MM: igual que el anterior pero con pequeñas modificaciones en el código

w32/Bagle.e@MM: igual que los anteriores pero deja de funcionar el 25 de Marzo 2004, y el fichero anexo tiene el siguiente icono:

Detección y eliminación

Todas las variantes mencionadas se controlan desde los DAT 4330 , para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA (versión 1.3 de fecha 1/3/2004).

SATINFO, VIRUSCAN SPAIN SERVICE 02 de Marzo de 2004