Propagación de nueva variante del gusano “Bagle”
En la tarde de ayer llegaron las primeras muestras a VirusTotal de una nueva variante de Bagle que en sus primeras horas ha alcanzado unas ratios de propagación notables.
Los inicios
Se propaga por e-mail y redes P2P, entre otras características destaca por incluir una puerta trasera que permite a un atacante externo hacerse con el control de la máquina infectada.
En esta ocasión sólo NOD32 destaca por ser capaz de detectar a esta variante por heurística, de forma que sus usuarios estaban protegidos en el momento que comenzó su propagación:
NOD32v2 probably unknow NewHeur_PE
El resto de antivirus se actualizaron con firmas específicas en los siguientes tiempos (hora de España):
Kaspersky 28.09.2004 20:25 :: I-Worm.Bagle.as
ClamWin 28.09.2004 20:51 :: Worm.Bagle.AP
BitDefender 28.09.2004 21:42 :: Win32.Bagle.AU@mm
McAfee 28.09.2004 21:48 :: W32/Bagle.az@MM
NOD32v2 28.09.2004 22:19 :: Win32/Bagle.AQ
F-Prot 28.09.2004 22:24 :: W32/Bagle.AM.worm
Panda 28.09.2004 22:40 :: W32/Bagle.BB.worm
TrendMicro 28.09.2004 23:10 :: WORM_BAGLE.AM
Norton 29.09.2004 00:05 :: W32.Beagle.AR@mm
InoculateIR 29.09.2004 00:17 :: Win32/Bagle.18883.Worm
Sophos 29.09.2004 03:10 :: W32/Bagle-AZ
Norman 29.09.2004 10:25 :: Bagle.AO@mm
Nomenclatura
Destaca la cantidad de sufijos diferentes utilizados para nombrar a esta variante según el motor antivirus: as, AP, AU, az, AQ, AM, BB, AR, 18883 y AO. Sin duda, la homogeneización en la nomenclatura de virus y demás malware está aun muy verde y necesita de un mayor consenso entre las diferentes casas antivirus.
Desde el punto de vista técnico parece, a priori, relativamente fácil establecer un mecanismo para lograr este objetivo. Por ejemplo, podrían utilizarse nombres temporales durante las primeras horas y, una vez realizada la puesta en común, asignarle el nombre genérico acordado en la siguiente actualización de forma dinámica.
El problema que se intuye de fondo parece ser más de marketing que puramente técnico o logístico.
Descripción del gusano
Cuando llega por e-mail, lo hace desde un mensaje con la dirección de remite falseada, y uno de los siguientes asuntos:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
En el cuerpo del mensaje sólo incluye alguno de los siguientes iconos a modo de sonrisa:
:)
:))
El archivo adjunto infectado puede tener extensión .exe, .scr, .com o .cpl, y uno de los siguientes nombres:
Price
price
Joke
En el caso de las redes P2P, el gusano se copia en todas las carpetas cuyo nombre contenga la cadena “shar”, que coincide con algunos directorios de archivos compartidos que utilizan por defecto las aplicaciones P2P más comunes. Los nombres con que puede aparecer en estas carpetas y, por tanto, en las redes P2P, son:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Cuando se ejecuta en un sistema, realiza una copia de si mismo en la carpeta de sistema de Windows con los nombres de archivo bawindo.exe, bawindo.exeopen y bawindo.exeopenopen.
Como suele ser habitual, también introduce la típica entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
“bawindo” = %System%”bawindo.exe”
El componente backdoor o puerta trasera queda a la escucha en el puerto TCP/81.
Otros inconvenientes
Otras acciones que lleva a cabo en el sistema son eliminar los procesos en memoria correspondientes a utilidades antivirus y similares que pudieran entorpecer su labor, según la siguiente lista:
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe
Devorando direcciones
Para enviarse a otros usuarios por e-mail, a través de su propio motor SMTP, busca direcciones de correo en los archivos que localiza en el sistema con alguna de las siguientes extensiones:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
Autoenvío
El gusano también incluye un listado para evitar enviarse a las direcciones de correo que contengan alguna de las siguientes cadenas:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
Descargas
Por último, el gusano intenta descargar el archivo WS.JPG desde los siguientes sitios web, pero hasta el momento en ninguno de ellos está disponible:
www.24-7-transportation.com
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.aviation-center.de
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.DarrkSydebaby.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.dragcar.com
www.ecofotos.com.br
www.elenalazar.com
www.ellarouge.com.au
www.esperanzaparalafamilia.com
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.fepese.ufsc.br
www.firstnightoceancounty.org
www.flashcorp.com
www.fleigutaetscher.ch
www.fludir.is
www.freeservers.com
www.FritoPie.NET
www.gamp.pl
www.gci-bln.de
www.gcnet.ru
www.generationnow.net
www.gfn.org
www.giantrevenue.com
www.glass.la
www.handsforhealth.com
www.hartacorporation.com
www.himpsi.org
www.idb-group.net
www.immonaut.sk
www.ims-i.com
www.innnewport.com
www.irakli.org
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jhaforpresident.7p.com
www.jimvann.com
www.jldr.ca
www.justrepublicans.com
www.kencorbett.com
www.knicks.nl
www.kps4parents.com
www.kradtraining.de
www.kranenberg.de
www.lasermach.com
www.leonhendrix.com
www.magicbottle.com.tw
www.mass-i.kiev.ua
www.mepbisu.de
www.mepmh.de
www.metal.pl
www.mexis.com
www.mongolische-renner.de
www.mtfdesign.com
www.oboe-online.com
www.ohiolimo.com
www.onepositiveplace.org
www.oohlala-kirkland.com
www.orari.net
www.pankration.com
www.pe-sh.com
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.polizeimotorrad.de
www.programmierung2000.de
www.pyrlandia-boogie.pl
www.raecoinc.com
www.realgps.com
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.scanex-medical.fi
www.sea.bz.it
www.selu.edu
www.sigi.lu
www.sljinc.com
www.smacgreetings.com
www.soloconsulting.com
www.spadochron.pl
www.srg-neuburg.de
www.ssmifc.ca
www.sugardas.lt
www.sunassetholdings.com
www.szantomierz.art.pl
www.the-fabulous-lions.de
www.tivogoddess.com
www.tkd2xcell.com
www.topko.sk
www.transportation.gov.bh
www.travelchronic.de
www.traverse.com
www.uhcc.com
www.ulpiano.org
www.uslungiarue.it
www.vandermost.de
www.vbw.info
www.velezcourtesymanagement.com
www.velocityprint.com
www.vikingpc.pl
www.vinirforge.com
www.wecompete.com
www.worest.com.ar
www.woundedshepherds.com
www.wwwebad.com
www.wwwebmaster.com