SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nueva variante de virus w32/Bagle de PROPAGACIÓN MEDIA.
Nombre de virus: W32/Bagle.af@MM
Alias conocidos: -
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y P2P.
Activación: Por
ejecución de fichero .EXE
Detección: desde
DATS 4377
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)
W32/Bagle.af@MM es un gusano mass-mailing que presenta las siguientes características:
- contiene su propio motor SMTP para construir mensajes salientes.
- recopila direcciones de email del equipo infectado.
- la dirección From: (Remitente) de los mensajes es falseada.
- el adjunto puede ser un fichero zip protegido con contraseña, la contraseña se incluye en el cuerpo del mensaje.
- contiene un componente de acceso remoto.
- realiza una copia de sí mismo a carpetas que contengan la cadena shar en el nombre (habitual en aplicaciones peer-to-peer comunes como KaZaa, Bearshare, Limewire, etc)
- utiliza diferentes nombres, seleccionados de variantes del virus W32/Netsky, para evitar que estas variantes se ejecuten en equipos infectados.
- finaliza procesos de programas de seguridad y otros gusanos
- borra entradas de registro de programas de seguridad y de otros gusanos
Propagación por Correo Electrónico
Remitente : (la dirección es falseada)
El nombre de los ficheros adjuntos los selecciona de la siguiente lista:
- Information
- Details
- text_document
- Updates
- Readme
- Document
- Info
- Details
- Message
El gusano utilizará listas diferentes para escoger el asunto y el cuerpo del mensaje, dependiendo de si el adjunto se envía como fichero ZIP protegido con contraseña o no.
Los detalles para ficheros no-ZIP (.EXE, .SCR,.COM,.ZIP, .CPL) son los siguientes:
Asunto :
- Re: Msg reply
- Re: Hello
- Re: Yahoo!
- Re: Thank you!
- Re: Thanks :)
- RE: Text message
- Re: Document
- Incoming message
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Notification
- Changes..
- Update
- Fax Message
- Protected message
- RE: Protected message
- Forum notify
- Site changes
- Re: Hi
- Encrypted document
Mensaje:
- Read the attach.
- Your file is attached.
- More info is in attach
- See attach.
- Please, have a look at the attached file.
- Your document is attached.
- Please, read the document.
- Attach tells everything.
- Attached file tells everything.
- Check attached file for details.
- Check attached file.
- Pay attention at the attach.
- See the attached file for details.
- Message is in attach
- Here is the file.
Los detalles de ficheros ZIP protegidos con contraseña son los siguientes:
Asunto :
- Password:
- Pass -
- Password -
Mensaje :
- For security reasons attached file is password protected. The password is
- For security purposes the attached file is password protected. Password --
- Note: Use password to open archive.
Attached file is protected with the password for security reasons. Password is- In order to read the attach you have to use the following password:
- Archive password:
- Password -
- Password:
Los ficheros ZIP protegidos con contraseña también pueden contener un segundo fichero de nombre aleatorio, con una de las siguientes extensiones:
- .ini
- .cfg
- .txt
- .vxd
- .def
- .dll
Estos ficheros sólo contienen caracteres aleatorios.
Instalación
El virus se copia en el directorio Windows System como sysxp.exe. Por ejemplo:
- C:\WINNT\SYSTEM32\sysxp.exe
También crea otros ficheros en este directorio para realizar sus funciones:
- sysxp.exeopen
- sysxp.exeopenopen
Añade la siguiente clave de registro para cargarse durante el inicio del sistema:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "key" = "C:\WINNT\SYSTEM32\sysxp.exe"
Crea una mutación para asegurarse que sólo se ejecuta una instancia del gusano a la vez. Uno de los siguientes nombres de mutación, se utiliza para intentar detener variantes particulares de W32/Netsky ejecutándose en el equipo infectado:
- ZonesCounterMutex
- ZonesCacheCounterMutex
- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
- RasPbFile
El gusano abre el puerto 1080 (TCP) en el equipo infectado y puertos UDP aleatorios.
Síntomas
Propagación por Correo Electrónico
Este virus construye mensajes utilizando su propio motor SMTP. Las direcciones email destino se recopilan de ficheros con las siguientes extensiones, en el equipo infectado:
- .wab
- .txt
- .msg
- .htm
- .shtm
- .stm
- .xml
- .dbx
- .mbx
- .mdx
- .eml
- .nch
- .mmf
- .ods
- .cfg
- .asp
- .php
- .pl
- .wsh
- .adb
- .tbb
- .sht
- .xls
- .oft
- .uin
- .cgi
- .mht
- .dhtm
- .jsp
El virus falsea la dirección remitente utilizando direcciones recopiladas en el campo From:.
El gusano evitará enviarse a direcciones de email que contengan las siguientes cadenas:
- @hotmail
- @msn
- @microsoft
- rating@
- f-secur
- news
- update
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- winrar
- samples
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
Propagación Peer To Peer
Genera los siguientes ficheros en carpetas que contegan la cadena shar en el nombre :
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Microsoft Office XP working Crack, Keygen.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
Eliminación de entradas de registro
Borra la siguiente lista de entradas de registro, relativas a productos de seguridad y gusanos:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "My AV"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "My AV"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Zone Labs Client Ex"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Zone Labs Client Ex"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "9XHtProtect"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "9XHtProtect"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Antivirus"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Antivirus"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Special Firewall Service"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Special Firewall Service"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "service"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "service"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Tiny AV"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Tiny AV"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "ICQNet"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "ICQNet"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "HtProtect"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "HtProtect"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "NetDy"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "NetDy"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Jammer2nd"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Jammer2nd"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "FirewallSvr"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "FirewallSvr"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "MsInfo"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "MsInfo"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "SysMonXP"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "SysMonXP"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "EasyAV"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "EasyAV"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "PandaAVEngine"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "PandaAVEngine"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Norton Antivirus AV"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "Norton Antivirus AV"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "KasperskyAVEng"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "KasperskyAVEng"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "SkynetsRevenge"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "SkynetsRevenge"- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "ICQ Net"- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "ICQ Net"
Componente de Acceso Remoto
El virus escucha en el puerto TCP 1080 a la espera de conexiones remotas. Intenta notificar al autor que el sistema infectado está listo para aceptar comandos, contactando con diferentes websites, llamando a un script PHP en sites remotos.
Detección y eliminación
El gusano se controla desde los DAT
4377 , para su eliminación se recomienda ejecutar
nuestra utilidad ELIBAGLA.
SATINFO, VIRUSCAN SPAIN SERVICE 16 de Julio de 2004
