|
Efectos:
Bagle.F realiza las siguientes acciones: - Crea un backdoor que abre el puerto TCP 2745.
- Intenta conectarse a varias páginas web que albergan un script PHP:
http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php
De este modo, notifica a su autor que el ordenador afectado puede ser accedido a través del puerto que ha abierto. - Termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus:
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE - Este gusano sólo se ejecuta si la fecha del sistema es menor o igual al 14 de marzo de 2004. Después de esta fecha, el gusano termina su ejecución.
- Abre el programa Notepad la primera vez que es ejecutado.
Metodo de infección:
Bagle.F crea los siguientes archivos en el directorio de sistema de Windows: - I1RU54N4.EXE. Este archivo es una copia del gusano.
- II5NJ4.EXE y GO54O.EXE. Estos archivos son librerías de soporte.
- I1RU54N4.EXEOPEN. Este archivo contiene el gusano comprimido en formato ZIP, que será el que se envíe por correo electrónico.
Bagle.F crea las siguientes entradas en el Registro de Windows: - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
rate.exe = %sysdir%\ i1ru54n4.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Bagle.F se asegura de que es ejecutado cada vez que Windows se inicia. - HKEY_CURRENT_USER\ SOFTWARE\ winword
uid = %aleatorio%
donde %aleatorio% es un valor aleatorio. - HKEY_CURRENT_USER\ SOFTWARE\ winword
port = 2745 - HKEY_CURRENT_USER\ Software\ winword
frn = 1
Bagle.F crea esta entrada para indicar que ya ha afectado al ordenador.
Metodo de propagación:
Bagle.F se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P). 1.- Propagación a través de correo electrónico. Bagle.F realiza el siguiente proceso: - Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:
Remitente:
Bagle.F falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Asunto: uno de los siguientes:
^_^ meay-meay!
^_^ mew-mew(-:
Aline
Anna
Audra
Bad girl
Barbi
beautiful
Caitie
caroline
ello! =))
Fotograf
Gallery photos
groom
Hey, dude, it's me ^_^ :P
Hey, ya! =))
Hi! :-)
Hokki =)
Jammie
Juli
Julie
kate
Katrina
Kelley
kleopatra
Lisa
Mandy
Mary
Mary-Anne
My Name is Frenk
My photoalbum
My photos
Mybeautiful person
Myphotos
Photoalbum
rebecca
Rena
Sara
stacy
Tammy
Wau... beautiful (-:
Weah, hello! :-)
Weeee ee! ;)))
Contenido: uno de los siguientes:
Argh, i don't like the plaintext :)
Fell free to chat with me I accept all ages. Don''''t worry I don''''t bite........hope to hear from you soon!
If you are going to make me cry, at least be there to wipe away the tears *Right now the worst thing for you to tell me that I can find someone better than you, especially when you are all I want
You donÆt know what youÆve got till itÆs gone *You hurt me more than I deserve, how can you be so cruel? I love you more than you deserve, how can I be such a fool?
I sit with elders of a gentle race, whose world is seldom seen.Who sit and talk of days for which they wait, when all will be revealed.
These are song lyrics.
I'm a social butterfly and a natural flirt. Very hard to get my complete attention. Very open and will answer almost anything. But please don't piss me off. I can be sweet and cuddly or a whatever mood I am in that day so everyday
Love the outdoors, literature, writing, and athletics
When The Trust is Gone So Is The Love That Fades Like the Rain Washing Away All The Sorrows Of Yesterday Why I Ask Myself Must It End Like This Tomorrow, I Tell Myself, I'll Be Okay For Now, I'll Just Live In The Memories Of Our Life Together
I enjoy clean conversations but am open to conversing with women and men with little ones as well. I am very open-minded. All authorization requests will be denied if I don't receive messages and get to know you first.
I love camping, dirt track racing, going for walks, and I have 2 cats - HotRod and Deebo (named from the movie 'Friday' and he lives up to it!). Life is ever changing, never always easy...
i love to chat to just about anyone!!
If I'm online, it problably means I'm pretty bored....so feel free to message me and say hi or whatever else comes to mind at the moment.
Hey people whats goin on? If there is anything you want to know about me ask me... I am pretty easygoing I won't bite....not at first anywayz hahaa.....one thing I will say on here tho I am not into the Cyber thing so don't even ask.....Ciao...
Hi! My name is Shreya and I am a goof off!!! So, If you love the outdoors, travelling, books, music, movies, laffing, teasing and/or can poke fun at yourself... please come a hollerin'!!
I love to dance, read poetry, make people laugh, and hug as many people a day as i can.
Single Mom of 3, Full time college student, Graduate in December with an Associates of Applied Science in Computer Information Systems Love the internet.
My hobbies include crochet, sewing, painting lead figures and playing AD&D. Favorite activities include fishing and camping. I love cats, unicorns(go figure), and fantasy in general.
I like to be in a company of smart, delicate, and with a good sense of humor people. I am Bulgarian, currently getting my Master's in International Business in USA. Favorite actor: Michael Dudikoff
i'm tall and skiny I'm studying in Pharm. D program in FL. i like music, movie, dancing, sports, SCUBA diving, traveling and make a lot friends.
Nice friends, nice men, nice sex and feeling great. I don't mind the odd bout of cybersex as I love to use my imagination when I masterbate.
Hey, guys! by the way, I have no problems with my sexual life, so it's absolutly useless try to have icq sex or things like that. Thanks
I'm an open minded person and enjoy chatting w/ other people. I'm free and willing to chat about anything. So feel free to Imed me if you wanna chat.
I love meeting new people and making new friends. I am a Mary Kay Beauty Consultant. I am married to a wonderful man. We have no children, exept for a minature schnauzer that thinks he is a child. Looking forward to meeting you.
I am from Taiwan but I study in Camden, New Jersey now. I like to know people from different places.
I'm married and I stay at home. And I don't do cyber sex so leave me the fuck alone
Looking forward for a response :P
Adicionalmente, si el archivo adjunto está comprimido en formato ZIP, estará protegido por una contraseña, que el gusano incluye en el mensaje junto con el siguiente texto:
archive password: %contraseña%
password: %contraseña%
pass: %contraseña%
password for archive: %contraseña%
Archivo adjunto: tiene nombre y extensión elegidos de las siguientes listas:
Posibles nombres: ALINE, ANNA, AUDRA, BAD GIRL, BARBI, CAITIE, CAROLINE, GALLERY, IT_I, JAMMIE, JULI, JULIE, KATE, KATRINA, KELLEY, KLEOPATRA, LISA, MANDY, MARY, MARY-ANNE, MYFOTOS, PHOTOALBUM, PHOTOMONTAGE, PICTURE, REBECCA, RENA, SARA, STACY, TAMMY.
Posibles extensiones: EXE, SCR, ZIP.
Además, este archivo tiene un icono similar al de las carpetas de Windows. - El ordenador queda afectado cuando se ejecuta el archivo adjunto.
- Bagle.F busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, DBX, EML, HTM, MDX, MMF, NCH, ODS, PHP, PL, SHT, TBB, TXT, WAB y XML.
- Bagle.F se envía a sí mismo a todas las direcciones de correo que ha recogido, emplendo para ello su propio motor SMTP, pero exceptuando aquellas que que pertenecen a los siguientes dominios: hotmail.com, msn.com, microsoft.com y avp.com, o contienen alguna de las siguientes cadenas de texto: local, noreply, postmaster@, root@.
- El gusano realiza consultas MX para obtener las direcciones IP de los dominios de correo.
2.- Propagación a través de programas P2P. Bagle.F realiza el siguiente proceso: - Crea copias de sí mismo en directorios que contengan en su nombre la cadena de texto SHAR, con los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 Full.exe
Ahead Nero7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft OfficeXP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack,working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno,sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 6 New!.exe
WinAmp5 Pro Keygen Crack Update.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
De esta forma, intenta copiarse en los directorios compartidos de programas P2P. - Otros usuarios de estos programas podrán acceder de manera remota a los directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.F.
- Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.F.
Otros detalles:
Bagle.F está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 22528 Bytes. Bagle.F intenta localizar la ventana que tiene por nombre Shell_TrayWnd, así como el mutex imain_mutex. Cuando es ejecutado, Bagle.F comprueba los parámetros de la línea de comandos desde donde ha sido llamado, que le permiten actualizarse o borrarse a sí mismo. |
