• Sábado 21 de Diciembre de 2024, 10:47

Autor Tema:  Bagle.bd  (Leído 1128 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Bagle.bd
« en: Martes 26 de Julio de 2005, 18:36 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:26-07-2005
Última Actualización:26-07-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Bagle.BD@MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:WORM_BAGLE.BD (Trend Micro), W32/Bagle.BD@mm (PerAntivirus)

Detalles

Instalación

El mensaje recibido tendrá las siguientes características:

Remitente: emplea la técnica Spoofing que disfraza las direcciones.
Asunto: Foto
Mensaje: uno de los siguientes:

    * Foto
    * Pass - [contraseña del adjunto]
    * Password - [contraseña del adjunto]
    * Password: [contraseña del adjunto]
    * The password is [contraseña del adjunto]

Adjunto: uno de los siguientes:

    * Foto.zip
    * fotos.zip

Propagación

El gusano captura los buzones de correo de la Libreta de Direcciones Windows (WAB) y usa el servidor SMTP (Simple Mail Transfer Protocol) smtp.mail.ru para su rutina de envío masivo.

En caso de fallo, emplea su propio motor SMTP o tratará de utilizar el Servidor Exchange MX local. Si también falla tratará de propagarse a través de un servidor con la dirección IP 217.5.97.137 en (Deutsche Telekom AG-Alemania).

Evita enviarse a las direcciones que tengan las siguientes cadenas:

    * @avp.
    * @derewrdgrs
    * @eerswqe
    * @iana
    * @messagelab
    * @microsoft
    * abuse
    * admin
    * anyone@
    * bugs@
    * cafee
    * certific
    * contract@
    * feste
    * free-av
    * f-secur
    * gold-certs@
    * google
    * help@
    * icrosoft
    * info@
    * linux
    * listserv
    * local
    * nobody@
    * noone@
    * noreply
    * ntivi
    * panda
    * postmaster@
    * rating@
    * root@
    * samples
    * sopho
    * support
    * update
    * winrar
    * winzip

Para evitar ser ejecutado en memoria más de una vez e impedir la ejecución de algunas variantes del gusano Netsky, crea el mutex (Exclusión Mutua):

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Se copia a la carpeta %System% con el nombre de windll.exe.

Crea las siguientes claves de registro para facilitar su propia ejecución en cada reinicio de Windows:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erthgdr" = "%System%\windll.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n]
"erthgdr" = "%System%\windll.exe"

Al siguiente inicio el gusano borra los siguientes valores de las claves de autoejecución del sistema:

    * ICQ Net
    * My AV

Intenta descargar de un sitio web el archivo EML.EXE que es una variante del gusano Bagle.

Actuando como Backdoor se conecta al puerto TCP 80 y configura el sistema infectado como un servidor web. También permite a los intrusos descargar el archivo RE_FILE.EXE a otros sistemas usando puertos que se encuentren abiertos, elegidos aleatoriamente y auto-ejecutarlo en memoria.
Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * fotos.zip
    * Foto.zip

Asunto del mensaje (virus que llegan por correo)

    * Foro
El pasado son solo recuerdos, el futuro son solo sueños