Tiempos de reacción
En esta ocasión algunos antivirus ganaron la batalla, ya que detectaban a la muestra antes de que comenzara su expansión.
Como ya adelantamos en la nota de ayer, esta nueva versión de Bagle se distribuye por correo electrónico en un mensaje con el texto “price” o “new price”, el campo del asunto en blanco, y adjuntando un archivo ZIP de 5,94Kb con diferentes nombres que tienen en común la cadena “price”: price.zip, price2.zip, price_new.zip, price_08.zip, 08_price.zip, newprice.zip, new_price.zip o new__price.zip.
El archivo ZIP contiene un HTML (price.html) y una carpeta con un EXE (price.exe) en su interior. El hecho de que utilizara un doble componente ha facilitado la labor a los antivirus, ya que algunos reconocían el exploit del HTML y otros detectaban al ejecutable por heurística o firmas genéricas.
En este apartado destacan BitDefender, McAfee, NOD32, Norman y Panda, que eran capaces de detectar el ZIP de esta variante de Bagle antes de su aparición, y protegían a sus usuarios en el mismo momento en que empezó a circular el gusano.
Detección proactiva del ZIP a través de “price.exe”:
Norman :: W32/Malware
Panda :: Fichero Sospechoso
Detección proactiva del ZIP a través de “price.html”:
BitDefender :: JS.Dword.dropper
McAfee :: JS/IllWill
NOD32 :: Win32/IE.Dword unknow infection type (Exploit)
A continuación los tiempos de reacción de las casas antivirus en proporcionar la actualización concreta para este gusano una vez había comenzado su propagación:
ClamWin 09.08.2004 19:01 :: Trojan.RunMe
F-Prot 09.08.2004 :: 20:13 :: HTML/ObjData@exp
NOD32v2 09.08.2004 20:44 :: Win32/Bagle.AI
TrendMicro 09.08.2004 21:41 :: TROJ_BAGLE.AC
McAfee 09.08.2004 21:56 :: W32/Bagle.dll.dr
BitDefender 09.08.2004 22:01 :: Win32.Bagle.AL@mm
Sophos 09.08.2004 22:28 :: W32/Bagle-AQ
Norman 09.08.2004 22:35 :: Bagle.AI@mm
Panda 09.08.2004 22:44 :: W32/Bagle.AM.worm
* No se ofrecen tiempos de Kaspersky y Symantec por problemas puntuales de VirusTotal en la actualización de estos motores, que podrían perjudicar sus resultados en esta ocasión. ClamWin, además de la actualización de las 19:01 en la que incluía la firma específica para el archivo HTML, realizó una posterior a las 20:33 para detectar el ejecutable como Worm.Bagle.AI.
Estos datos son proporcionados por VirusTotal, y los tiempos se encuentran en hora española (GMT+2 en verano).
En cuanto al gusano, incluye su propio motor SMTP para enviar por e-mail a otras direcciones que recolecta en el sistema infectado buscando en los archivos con extensión: .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm y .jsp.
Evita enviarse a las direcciones que contenga alguna de las siguientes cadenas: @eerswqe, @derewrdgrs, @microsoft, rating@, f-secur, news, update, anyone@, bugs@, contract@, feste, gold-certs@, help@, info@, nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab, winzip, google, winrar, samples, abuse, panda, cafee, spam, pgp, @avp., noreply, local, root@, y postmaster@.
Además de por e-mail, intenta propagarse a través de las redes P2P, realizando copias del gusano en las carpetas del sistema infectado cuyo nombre contenga la cadena “shar”, que coincide con muchos de los directorios por defecto utilizados por los clientes P2P. Los nombres que utiliza para copiar el gusano en estas carpetas de archivos compartidos son:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Page: 1 2
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…