Virus Bagle.A

Efectos:

Bagle.A no tiene efectos destructivos. Sin embargo, realiza las siguientes acciones:

• Se ejecuta si la fecha del sistema es 28 de Enero de 2004 o anterior. Cuando la fecha del sistema sobrepasa este valor, Bagle.A crea y ejecuta el fichero por lotes A.BAT, que borra tanto el fichero del gusano como a sí mismo, para no dejar rastro.
• Ejecuta la Calculadora de Windows (fichero CALC.EXE) si se ejecuta desde un archivo distinto a BBEAGLE.EXE, que el gusano crea en el directorio de sistema de Windows.
• Tiene código que le permite descargar archivos desde Internet y ejecutarlos en el ordenador afectado.
• Cada diez minutos, Bagle.A intenta conectarse a una de las siguientes páginas web a través del puerto 6777, para actualizarse a sí mismo y realizar un listado de los usuarios afectados. El gusano se identifica a sí mismo como beagle_beagle.
  Sin embargo, estas páginas web han sido desactivadas:
  
  http://www.elrasshop.de
  http://www.it-msc.de
  http://www.getyourfree.net
  http://www.dmdesign.de
  http://64.176.228.13
  http://www.leonzernitsky.com
  http://216.98.136.248
  http://216.98.134.247
  http://www.cdromca.com
  http://www.kunst-in-templin.de
  http://vipweb.ru
  http://antol-co.ru
  http://www.bags-dostavka.mags.ru
  http://www.5x12.ru
  http://bose-audio.net
  http://www.sttngdata.de
  http://wh9.tu-dresden.de
  http://www.micronuke.net
  http://www.stadthagen.org
  http://www.beasty-cars.de
  http://www.polohexe.de
  http://www.bino88.de
  http://www.grefrathpaenz.de
  http://www.bhamidy.de
  http://www.mystic-vws.de
  http://www.auto-hobby-essen.de
  http://www.polozicke.de
  http://www.twr-music.de
  http://www.sc-erbendorf.de
  http://www.montania.de
  http://www.medi-martin.de
  http://vvcgn.de
  http://www.ballonfoto.com
  http://www.marder-gmbh.de
  http://www.dvd-filme.com
  http://www.smeangol.com

Metodo de infección:

Bagle.A crea el archivo BBEAGLE.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano. Si el gusano se ejecuta desde un archivo distinto, ejecuta la Calculadora de Windows (por ejemplo, cuando el usuario ejecuta el archivo adjunto del mensaje de correo).

Bagle.A crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  d3dupdate.exe = %systemdir%\bbeagle.exe
  donde %systemdir% es el directorio de sistema de Windows.
  Con esta entrada, Bagle.A consigue ejecutarse cada vez que se inicia Windows.
• HKEY_CURRENT_USER\ Software\ indows98
  uid = %aleatorio%
  donde %aleatorio% es un valor aleatorio.
• HKEY_CURRENT_USER\ Software\ Windows98
  frun = 1
  Con esta entrada, Bagle.A comprueba si ya se encuentra en el ordenador afectado.

Metodo de propagación:

Bagle.A se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje con las siguientes características:
  
  Remitente:
  Bagle.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto:
  Hi
  
  Contenido:
  Test =)
  %caracteres aleatorios%
  --
  Test, yep.
  
  Archivo adjunto:
  El archivo adjunto tiene un nombre con varios caracteres aleatorios y extensión EXE. Tiene el mismo icono que la Calculadora de Windows:
  
  
• Una vez ejecutado, el ordenador queda afectado.
• Bagle.A busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: WAB, TXT, HTM y HTML.
• El gusano realiza consultas MX para obtener las direcciones IP de los dominios de correo.
• El gusano se envía a sí mismo a todas las direcciones de correo que recoge, excepto aquellas que pertenezcan a los siguientes dominios: hotmail.com, msn.com, microsoft.com y avp.com. Utiliza su propio motor SMTP.

Otros detalles:

Bagle.A está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño de 15872 Bytes.