Virus Bagle.BN

Efectos:

Bagle.BN realiza las siguientes acciones:

• Abre el puerto TCP 80 y permanece a la escucha, en espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
• Envía una copia del troyano detectado como Trj/Mitglieder.BO a través del correo electrónico:
  
  Asunto: está en blanco.
  
  Contenido: es variable, y tiene formato HTML:
  price
  new price
  
  Archivo adjunto: un archivo comprimido en formato ZIP, que contiene el archivo DOC_01.EXE, que es una copia del dropper que instala Mitglieder.BO:
  PRICE.ZIP, PRICE2.ZIP, PRICE_NEW.ZIP, PRICE_08.ZIP, 08_PRICE.ZIP, NEWPRICE.ZIP, NEWPRICE.ZIP, NEW__PRICE.ZIP.
  
  Bagle.BN envía este mensaje de correo a todas las direcciones que encuentra en el archivo EML.EXE, que descarga desde la página web http:// oceancareers.com/ z, utilizando su propio motor SMTP y el servidor smtp.earthlink.net o el que está en la dirección IP 215.5.97.137.
  Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
  @avp., @derewrdgrs, @eerswqe, @foo, @iana, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip.

Metodo de infección:

Bagle.BN crea el archivo WINDLHHL.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Bagle.BN crea la siguiente entrada en el Registro de Windows:

• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Ru1n
  Erghgjhgdr = %sysdir%\ windlhhl.exe
  donde %sysdir% es el directorio de sistema de Windows.
  
  Si no puede crear esta entrada, intenta crear la siguiente:
  
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Ru1n
  Erghgjhgdr = %sysdir%\ windlhhl.exe
  
  Mediante estas entradas, Bagle.BN consigue ejecutarse cada vez que Windows se inicia.

Bagle.BN elimina las entradas del Registro de Windows correspondientes a otros gusanos, particularmente variantes de Netsky. Más concretamente, busca en las siguientes rutas:

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

entradas con las siguientes cadenas de texto:
9XHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, service, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex.

De esta forma, consigue que dichos gusanos no se ejecuten cuando Windows se inicia.

Metodo de propagación:

Bagle.BN es descargado en el ordenador afectado por el propio Mitglieder.BO.

Otros detalles:

Bagle.BN está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño variable de al menos 29696 Bytes cuando está comprimido mediante PeX, y de aproximadamente 76 KBytes una vez descomprimido.

Bagle.BN crea un mutex para asegurarse de que no hay más de una copia del gusano ejecutándose al mismo tiempo. Emplea uno de los siguientes nombres para, adicionalmente, conseguir que no puedan ejecutarse algunas variantes de Netsky:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D

'D',r',o',p',p',e',d',S'k',y',N',e',t'

_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_

[SkyNet.cz]SystemsMutex

AdmSkynetJklS003

____--->>>>U<<<<--____

_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_