Virus Bagle.U

Efectos:

Bagle.U realiza las siguientes acciones:

• Crea un backdoor que abre el puerto TCP 4751 y permanece a su escucha.
• Descarga una actualización de sí mismo (archivo A.EXE) desde Internet, a través del puerto abierto.
• Comprueba cada dos segundos si hay disponible una conexión a Internet. Si la encuentra, intenta conectarse a una página web que alberga un script PHP:
  http://www.werde.de/5.php
  De este modo, notifica a su autor que el ordenador afectado puede ser accedido a través del puerto que ha abierto. Si no consigue enviar esta notificación, lo intenta cada 100.000 segundos.
• Sólo se ejecuta si la fecha del sistema es 1 de enero de 2005 o anterior. Después de esta fecha, Bagle.U deja de funcionar.
• Abre el juego de Windows Corazones, si está instalado en el ordenador afectado. Este juego suele instalarse por defecto con los sistemas operativos Windows.

Metodo de infección:

Bagle.U crea los siguientes ficheros:

• GIGABIT.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano. Si Bagle.U es ejecutado desde un archivo que no sea éste, abrirá el juego de Windows Corazones.
• A.BAT. Cuando este archivo de proceso por lotes sea ejecutado, borrará el gusano.
• A.EXE, en el directorio de Windows. Este archivo es descargado desde Internet a través del puerto abierto.

Bagle.U crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ Current Version \Run
  Gigabit.exe = %sysdir%\ gigabit.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Bagle.U consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ SOFTWARE\ Windows2004
  gsed = %aleatorio%
  donde %aleatorio% es un valor aleatorio que será usado durante la ejecución del gusano.
• HKEY_CURRENT_USER\ Software\ Windows2004
  frn = 1
  Bagle.U crea esta entrada para indicar que ya ha afectado al ordenador.

Metodo de propagación:

Bagle.U se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo con las siguientes características:
  
  Remitente:
  Bagle.U falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí
  
  Asunto: está vacío.
  
  Contenido: está vacío.
  
  Archivo adjunto:
  Tiene un archivo adjunto con nombre variable, pero que siempre tiene extensión EXE. Además, tiene el siguiente icono:
  
  
• El ordenador queda afectado cuando se ejecuta el archivo adjunto.
• Bagle.U busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
  Busca estos archivos en todas las unidades del ordenador afectado, excepto en disqueteras, CD-ROMs y otras unidades extraíbles.
• Se envía automáticamente a sí mismo a todas las direcciones que ha recopilado usando su propio motor SMTP, exceptuando aquellas que pertenecen a los dominios de correo @microsoft y @avp.
  Envía mensajes de correo a razón de uno cada cinco segundos.

Otros detalles:

Bagle.U está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 8208 Bytes cuando está comprimido con FSG, y de aproximadamente 50 KBytes una vez es descomprimido.