|
Efectos:
Bagle.O realiza las siguientes acciones: Infecta ficheros PE, incrementando su tamaño en 44 KBytes. - Crea un backdoor que abre el puerto TCP 2556.
- Termina los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema, entre otros:
AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET.EXE, CFINET32.EXE, CFINET32.EXE, CLEAN.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANER3.EXE, CLEANPC.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMGRDIAN.EXE, CMON016.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.
Metodo de infección:
Bagle.O crea los siguientes ficheros en el directorio de sistema de Windows: Bagle.O crea la siguiente entrada en el Registro de Windows: Bagle.O borra las siguientes entradas del Registro de Windows, si existen: - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
9XHtProtect - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
9XHtProtect - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Antivirus - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Antivirus - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HtProtect - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HtProtect - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQ Net - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQ Net - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQNet - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ICQNet - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
My AV - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
My AV - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Special Firewall Service - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Special Firewall Service - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Tiny AV - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Tiny AV - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client Ex - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client Ex - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
service - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
service
Estas entradas pertenecen a diferentes variantes del gusano Netsky.
Metodo de propagación:
Bagle.O se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P). 1.- Propagación a través de correo electrónico. Bagle.O realiza el siguiente proceso: Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características: Remitente: Bagle.O falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí. Además, Bagle.O puede utilizar cualquiera de los siguientes remitentes: administration@%dominio% management@%dominio% noreply@%dominio% staff@%dominio% support@%dominio% antivirus@%dominio% antispam@%dominio% donde %dominio% es el dominio de correo del receptor. Asunto: uno de los siguientes: Account notify
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account.Contenido: está compuesto una frase de cada una de las siguientes listas: Lista 1: saludoDear user of %dominio% ,Dear user of %dominio% gateway e-mail server,Dear user of e-mail server "%dominio% ",Hello user of %dominio% e-mail server,Dear user of "%dominio% " mailing system,Dear user, the management of %dominio% mailing system wants to let you know thatdonde %dominio% es el dominio de correo del receptor. Lista 2: mensaje principalYour e-mail account has been temporary disabled because of unauthorized access.
Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.
Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.
Advanced details can be found in attached file.
Find the white rabbit.
Follow the wabbit.
For details see the attach.
For details see the attached file.
For further details see the attach.
For more information see the attached file.
Further details can be obtained from attached file.
Here is the file.
Message is in attach
More info in attach
Pay attention on attached file.
Please, have a look at the attached file.
Please, read the attach for further details.
Read the attach.
See attach.
See the attached file for details.
Your file is attached.
List 4: información de la contraseña
El elemento de esta lista sólo aparece cuando la extensión del adjunto es ZIP o RAR.
Password: %contraseña%
Pass - %contraseña%
Password - %contraseña%
For security reasons attached file is password protected. The password is %imagen adjunta insertada%
For security purposes the attached file is password protected. Password -- %imagen adjunta insertada%
Attached file is protected with the password for security reasons. Password is %imagen adjunta insertada%
In order to read the attach you have to use the following password: %imagen adjunta insertada%
Archive password: %imagen adjunta insertada%
Password - %imagen adjunta insertada%
Password: %imagen adjunta insertada%
donde %contraseña% es la contraseña necesario para descomprimir el archivo adjunto. Si el ordenador desde el que se envía el correo tiene el archivo de sistema GDIPLUS.DLL , esta contraseña se puede dar dentro de una imagen %imagen adjunta insertada%.
List 5: closing
The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,
Yours,
Para finalizar, se incluye el siguiente texto:
The %dominio% team http://www.%dominio%
donde %dominio% es el dominio de correo del receptor.
Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
Posibles nombres: ATTACH, DETAILS, DOCUMENT, ENCRYPTED, FIRST_PART, GIFT,INFO, INFORMATION, MESSAGE, MOREINFO, PUB_DOCUMENT, README, TEXT, TEXT_DOCUMENT o TEXTDOCUMENT. Posibles extensiones: EXE, PIF, ZIP o RAR.
Si el ordenador desde el cual se envía el correo tiene el archivo de sistema GDIPLUS.DLL, la contraseña usada para descomprimir el archivo adjunto, se puede enviar asjunta al mensaje como un archivo gráfico con extensión BMP, JPG o GIF.- El ordenador es afectado cuando se ejecuta el archivo adjunto.
- Bagle.O busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
- Bagle.O envía una copia de sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
- Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto: @avp., @foo, @hotmail.com, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, winrar y winzip.
2.- Propagación a través de programas P2P. Bagle.O realiza el siguiente proceso: Crea copias de sí mismo en directorios que contengan en su nombre la cadena de texto SHAR, con los siguientes nombres:
Microsoft Office 2003 Crack, Working!.exe
Microsoft OfficeXP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack,working Keygen.exe
Porno Screensaver.scr
Porno,sex, oral, anal cool, awesome!!.exe
Porno pics arhive, xxx.exe
Serials.txt.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Opera 8 New!.exe
WinAmp5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Matrix 3 Revolution English Subtitles.exe
Adobe Photoshop 9 full.exe
Ahead Nero7.exe
ACDSee 9.exe Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.O. Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.O.
Otros detalles:
Bagle.O está escrito en el lenguaje de programación Visual C++. Este virus tiene un tamaño de 23558 Bytes cuando está comprimido con UPX, y de 44189 Bytes una vez es descomprimido. El código de este virus contiene el siguiente texto en su interior, aunque no es mostrado en ningún momento: 
|
