publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Bagle.J

Virus Bagle.J

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad baja Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Bagle.J realiza las siguientes acciones:

  • Crea un backdoor que abre el puerto TCP 2745.
  • Intenta conectarse a varias páginas web que albergan un script PHP:
    http://postertog.de/scr.php
    http://www.gfotxt.net/scr.php
    http://www.maiklibis.de/scr.php

    De este modo, notifica a su autor que el ordenador afectado puede ser accedido a través del puerto que ha abierto.
  • Termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus:
    ATUPDATER.EXE
    ATUPDATER.EXE
    AUPDATE.EXE
    AUTODOWN.EXE
    AUTOTRACE.EXE
    AUTOUPDATE.EXE
    AVLTMAIN.EXE
    AVPUPD.EXE
    AVWUPD32.EXE
    AVXQUAR.EXE
    CFIAUDIT.EXE
    DRWEBUPW.EXE
    ICSSUPPNT.EXE
    ICSUPP95.EXE
    LUALL.EXE
    MCUPDATE.EXE
    NUPGRADE.EXE
    NUPGRADE.EXE
    OUTPOST.EXE
    UPDATE.EXE
  • Este gusano sólo se ejecuta si la fecha del sistema es menor o igual al 25 de marzo de 2005. Después de esta fecha, el gusano deja de funcionar.

Metodo de infección:

Bagle.J crea los siguientes archivos en el directorio de sistema de Windows:

  • IRUN4.EXE. Este archivo es una copia del gusano.
  • IRUN4.EXEOPEN. Este archivo contiene el gusano comprimido en formato ZIP, que será el que se envíe por correo electrónico.

Bagle.J crea la siguiente entrada en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    ssate.exe = %sysdir%\ irun4.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Bagle.J se asegura de que es ejecutado cada vez que Windows se inicia.

Metodo de propagación:

Bagle.J se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.J realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:

    Remitente:
    Bagle.J falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
    Es variable, y consiste en una de las siguientes:
    administration@ %dominio%
    management@ %dominio%
    noreply@ %dominio%
    staff@ %dominio%
    support@ %dominio%
    donde %dominio% es el dominio de correo del receptor.

    Asunto: uno de los siguientes:
    E-mail account disabling warning.
    E-mail account security warning.
    Email account utilization warning.
    Important notify about your e-mail account.
    Notify about using the e-mail account.
    Notify about your e-mail account utilization.
    Warning about your e-mail account.

    Contenido: es variable, y está compuesto de una cadena de texto de cada una de las siguientes listas:
    Lista 1: saludo
    Dear user of %dominio%,
    Dear user of %dominio% gateway e-mail server,
    Dear user of e-mail server %dominio%,
    Hello user of %dominio% e-mail server,
    Dear user of %dominio% mailing system,
    Dear user, the management of %dominio% mailing system wants to let you know that,

    Lista 2: mensaje principal
    Your e-mail account has been temporary disabled because of unauthorized access.

    Our main mailing server will be temporary unavaible for next two days,
    to continue receiving mail in these days you have to configure our free
    auto-forwarding service.

    Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.

    We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.

    Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.

    Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

    Lista 3: información del adjunto
    Advanced details can be found in attached file.
    For details see the attach.
    For details see the attached file.
    For further details seethe attach.
    For more information see the attached file.
    Further details can be obtained from attached file.
    Pay attention on attached file.
    Please, read the attach for further details.

    Lista 4: información de la contraseña
    Cuando la extensión del archivo adjunto es ZIP se añade una de las siguientes cadenas de texto.
    For security reasons attached file is password protected. The password is "%número%".
    For security purposes the attached file is password protected. Password is "%número%".
    Attached file protected with the password for security reasons. Password is %número%.
    In order to read the attach you have to use the following password: %número%.
    donde %número% es un número aleatorio de 5 cifras.

    Lista 5: despedida
    The Management,
    Sincerely,
    Best wishes,
    Have a good day,
    Cheers,
    Kind regards,
    Para finalizar se incluye el siguiente texto:
    The %dominio% team                http://www.%dominio%
    donde %dominio% es el dominio de correo del receptor.

    Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
    Posibles nombres: ATTACH, DOCUMENT, INFO, INFORMATION, MESSAGE, MOREINFO, README, TEXTDOCUMENT o TEXTFILE
    Posibles extensiones: EXE, PIF o ZIP.
  • El ordenador es afectado cuando se ejecuta el archivo adjunto.
  • Bagle.J busca direcciones de correo electrónico en todos los archivos con extensión WAB, TXT, MSG, HTM, XML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, TBB, SHT, UIN y CGI.
  • Bagle.J envía una copia de sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
  • Sin embargo, no se envía a las direcciones que presenten las siguientes características:

    - La dirección presenta alguno de los siguientes dominios: @hotmail.com, @msn.com, @microsoft y @avp.
    - La cuenta de correo contiene alguna de las siguientes cadenas: local, noreply, postmaster@ y root@.
  • El gusano realiza consultas MX para obtener las direcciones IP de los dominios de correo.

2.- Propagación a través de programas P2P.

Bagle.J realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios compartidos que contengan la cadena de texto SHAR con los siguientes nombres:
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft OfficeXP working Crack, Keygen.exe
    Microsoft Windows XP, WinXP Crack,working Keygen.exe
    Porno Screensaver.scr
    Porno,sex, oral, anal cool, awesome!!.exe
    Porno pics arhive, xxx.exe
    Serials.txt.exe
    Windown Longhorn Beta Leak.exe
    Windows Sourcecode update.doc.exe
    XXX hardcore images.exe
    Opera 8 New!.exe
    WinAmp5 Pro Keygen Crack Update.exe
    WinAmp 6 New!.exe
    Matrix 3 Revolution English Subtitles.exe
    Adobe Photoshop 9 full.exe
    Ahead Nero7.exe
    ACDSee 9.exe
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.J.
  • Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.J.


Otros detalles:

Bagle.J está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 12288 Bytes.

Cuando es ejecutado, Bagle.J comprueba los parámetros de la línea de comandos desde donde ha sido llamado, que le permiten actualizarse o borrarse a sí mismo.

Bagle.J contiene el siguiente texto en su código, aunque no es mostrado en ningún momento:

Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war?
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork