W32/Bagle@mm!cpl


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Nueva variante de gusano w32/Bagle con diferentes payloads maliciosos

Nombre de virus: W32/Bagle@mm!cpl
Alias conocidos: Email-Worm.Win32.Bagle.cs, Troj/Dropper-BB
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Mediante Spam masivo
Activación: Por ejecución de fichero CPL dentro del zip adjunto al mensaje
Detección: desde DATS 4580
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Bagle@mm!cpl es una detección generica que engloba diferentes variantes de virus w32/Bagle, que se envían en formato "CPL". Actualmente la propagación del mismo es a través de envíos masivos de spam.

Entre los nombres de fichero con los que se propaga se incluyen 1.cpl y price.cpl, y puede llegar en un ZIP de nombre newprice.zip, price_09.zip, oldprice_new.zip, etc..

La ejecución del fichero CPL crea una copia de sí mismo en la carpeta Windows con uno de los siguientes nombres, y lo ejecuta :

CEEWEEWE.EXE

gfgdgfd.exe

gfgdgfddfgdfgwe.exe

Abre la aplicación del bloc de notas (Notepad), posiblemente para ocultar al usuario la ejecución de rutinas maliciosas. También crea una copia de sí mismo en la carpeta de sistema de Windows, con el nombre WINSHOST.EXE. Además, genera un componente DLL en la misma carpeta, con el nombre WIWSHOST.EXE, este componente DLL generado transporta las rutinas maliciosas del troyano.

Crea la siguiente entrada de registro:

HKEY_CURRENT_USER\Software
FirstRunFirstRunRR = "dword:00000001"

La existencia de dicha entrada sirve como marca al troyano para abrir el Notepad.

El troyano genera la siguiente entrada de registro para asegurar su ejecución automática en cada inicio del sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winshost.exe = "%System%\winshost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
winshost.exe = "%System%\winshost.exe"

(Nota: %System% es la carpeta de sistema de Windows, que habitualmente es C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, o C:\Windows\System32 en Windows XP y 2003.)

Asimismo, el troyano inyecta su componente DLL en el proceso EXPLORER.EXE para que se ejecute cada vez que el usuario abre el explorador de Windows.

Payloads

- Rutina de descarga:

El troyano intenta descargar el fichero OSA5.GIF desde una URL, y lo salva como
_RE_FILE.EXE

- Modificación del fichero HOSTS:

Edita el fichero HOSTS para que contenga sólo la siguiente entrada:

127.0.0.1 localhost

- Desactivación de aplicaciones antivirus

El troyano desactiva ciertas aplicaciones antivirus, borrando las siguientes claves de registro, si las encuentra en el sistema afectado.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Symantec NetDriver Monitor

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
ccApp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NAV CfgWiz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SSC_UserPrompt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
McAfee Guardian

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
McAfee.InstantUpdate.Monitor

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
APVXDWIN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
KAV50

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
avg7_cc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
avg7_emc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Zone Labs Client

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab

HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum

HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software

HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs

Con esta modificación evita que ciertas aplicaciones antivirus funcionen correctamente.

- Finalización de procesos y servicios

Este troyano finaliza los siguientes procesos, la mayoria de los cuales están relacionados con aplicaciones de seguridad y antivirus:

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ESCANH95.EXE

ESCANHNT.EXE

FIREWALL.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

OUTPOST.EXE

UPDATE.EXE

UPGRADER.EXE

También detiene servicios de otras múltiples aplicaciones.

- Renombrado de ficheros

Renombra los siguientes ficheros:

Nombre antiguo		Nuevo nombre
AUPDATE.EXE		AUPD1ATE.EXE
av.dll		a5v.dll
Avconsol.exe		Avc1onsol.exe
avgcc.exe		avgc3c.exe
avgemc.exe		avg23emc.exe
Avsynmgr.exe		Av1synmgr.exe
cafix.exe		c6a5fix.exe
ccApp.exe		ccA1pp.exe
CCEVTMGR.EXE		CC1EVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll		cc1l30.dll
CMGrdian.exe		C1CSETMGR.EXE
isafe.exe		is5a6fe.exe
KAV.exe		K2A2V.exe
kavmm.exe		kav12mm.exe
LUALL.EXE		LUAL1L.EXE
LUINSDLL.DLL		LUI1NSDLL.DLL
Luupdate.exe		Luup1date.exe
Mcshield.exe		Mcsh1ield.exe
NAVAPSVC.EXE		NAV1APSVC.EXE
NPFMNTOR.EXE		NPFM1NTOR.EXE
outpost.exe		outp1ost.exe
RuLaunch.exe		RuLa1unch.exe
SNDSrvc.exe		SND1Srvc.exe
SPBBCSvc.exe		SP1BBCSvc.exe
symlcsvc.exe		s1ymlcsvc.exe
Up2Date.exe		Up222Date.exe
vetredir.dll		ve6tre5dir.dll
Vshwin32.exe		Vshw1in32.exe
VsStat.exe		Vs1Stat.exe
vsvault.dll		vs6va5ult.dll
zatutor.exe		zatu6tor.exe
zlavscan.dll		zl5avscan.dll
zlclient.exe		zlcli6ent.exe
zonealarm.exe		zo3nealarm.exe

El renombrado de los ficheros anteriores provocará un mal funcionamiento de la aplicaciones correspondientes.

Detección y eliminación

El gusano se controla desde los DAT 4580, para su eliminación se recomienda ejecutar nuestra utilidad ELIBAGLA.

Nota: Esta aplicación no restaurará las claves de registro vinculadas a aplicaciones antivirus que hayan sido eliminadas por el troyano, por lo que en algún caso puede ser necesario reparar o reinstalar el programa antivirus afectado.

SATINFO, VIRUSCAN SPAIN SERVICE 15 de Septiembre de 2005