|
Efectos:
Mitglieder.BO realiza las siguientes acciones: - Descarga e instala el gusano Bagle.BN.
- Finaliza los siguientes procesos, que en su mayoría que pertenecen a aplicaciones que realizan actualizaciones de diferentes programas antivirus:
ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, UPDATE.EXE y UPGRADER.EXE. - Para los servicios cuyo nombre contenga alguna de las siguientes cadenas de texto:
wuauserv PAVSRV PAVFNSVR PSIMSVC Pavkre PavProt PREVSRV PavPrSrv SharedAccess navapsvc NPFMntor Outpost Firewall SAVScan SBService Symantec Core LC ccEvtMgr SNDSrvc ccPwdSvc ccSetMgr.exe SPBBCSvc KLBLMain avg7alrt avg7updsvc vsmon CAISafe avpcc fsbwsys backweb client - 4476822 backweb client-4476822 fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService navapsvc NProtectService Norton Antivirus Server VexiraAntivirus dvpinit dvpapi schscnt BackWeb Client - 7681197 F-Secure Gatekeeper Handler Starter FSMA AVPCC KAVMonitorService Norman NJeeves NVCScheduler nvcoas Norman ZANDA PASSRV SweepNet SWEEPSRV.SYS NOD32ControlCenter NOD32Service PCCPFW Tmntsrv AvxIni XCOMM ravmon8 SmcService BlackICE PersFW McAfee Firewall OutpostFirewall NWService alerter sharedaccess NISUM NISSERV vsmon nwclnth nwclntg nwclnte nwclntf nwclntd nwclntc wuauserv navapsvc Symantec Core LC SAVScan kavsvc DefWatch Symantec AntiVirus Client NSCTOP Symantec Core LC SAVScan SAVFMSE ccEvtMgr navapsvc ccSetMgr VisNetic AntiVirus Plug-in McShield AlertManger McAfeeFramework AVExch32Service AVUPDService McTaskManager Network Associates Log Service Outbreak Manager MCVSRte mcupdmgr.exe AvgServ AvgCore AvgFsh awhost32 Ahnlab task Scheduler MonSvcNT V3MonNT V3MonSvc FSDFWD.
La mayoría de estos servicios están asociados a programas antivirus y cortafuegos, entre otros. - Evita que algunas herramientas de seguridad puedan ejecutarse automáticamente cuando Windows se inicia.
- Elimina archivos fundamentales para su buen funcionamiento.
- Evita el acceso a los sitios web de varias compañías antivirus. De este modo, el usuario no podrá estar al tanto de las últimas amenazas descubiertas, y también se evita la actualización de las soluciones antivirus.
- Cada seis horas, intenta descargar el archivo ZO2.JPG desde las siguientes páginas web:
http://www.amanit.ru
http://www.anthonyflanagan.com
http://www.approved1stmortgage.com
http://www.argument.h12.ru
http://www.arkebek.de
http://www.artek.org
http://www.asianfestival.nl
http://www.astergut.at
http://www.aviation-center.de
http://www.bbsh.org
http://www.besino.com
http://www.bestbuy.de
http://www.beta.mtw.ru
http://www.bga-gsm.ru
http://www.blessino.com
http://www.blueeyeinc.com
http://www.breaklight.be
http://www.brzesko.net.pl
http://www.catsystem.com.kg
http://www.cdnpartner.com.pl
http://www.ceskyhosting.cz
http://www.compsolutionstore.com
http://www.concept.kg
http://www.corpsite.com
http://www.couponcapital.net
http://www.channeland.com
http://www.DarrkSydebaby.com
http://www.dehut-westerhoven.nl
http://www.dhl.kg
http://www.dierollendedisco.de
http://www.discobaradventure.be
http://www.ecobank.kg
http://www.elenalazar.com
http://www.e-nfo.com
http://www.epicbiz.com
http://www.e-power.com.cn
http://www.europa.kg
http://www.everett.wednet.edu
http://www.externet.hu
http://www.forester.kg
http://www.fotocliparts.de
http://www.fotonw.org
http://www.freesites.com.br
http://www.funbunker.de
http://www.funworld.tv
http://www.gameser.com@share.gameser.com
http://www.gci-bln.de
http://www.gcnet.ru
http://www.giantrevenue.com
http://www.himpsi.org
http://www.i3dvr.com
http://www.ibigmart.net
http://www.idb-group.net
http://www.illusionoflife.net
http://www.infocuspromo.com
http://www.irinaswelt.de
http://www.jansenboiler.com
http://www.jasnet.pl
http://www.jcribeiro.com
http://www.jewelleryamberproducts.com
http://www.jimvann.com
http://www.jldr.ca
http://www.jordanramey.net
http://www.joy-musik-sound.de
http://www.justrepublicans.com
http://www.katel.kg
http://www.knicks.nl
http://www.koebers.pl
http://www.kogaionon.com
http://www.kplus.kg
http://www.kradtraining.de
http://www.kranenberg.de
http://www.kranenberg.de:113547@
http://www.kstrus.com.pl
http://www.ktsonline.de
http://www.lahelaino.com
http://www.lawform.com.au
http://www.leetexgroup.com
http://www.leshrak.de
http://www.leshrak.de:prophets@
http://www.logoseiten.de
http://www.magicbottle.com.tw
http://www.mcuserver.cz
http://www.mega.kg
http://www.mega-spass.com
http://www.mepbisu.de
http://www.mepmh.de
http://www.mtfdesign.com
http://www.mtransit.kg
http://www.neotech.kg
http://www.nikonfotoshare.com
http://www.novosti.kg
http://www.ok.kg
http://www.onepositiveplace.org
http://www.online.kg
http://www.orangesuburban.5u.com
http://www.otv.ch
http://www.pageantpage.com
http://www.pankration.com
http://www.para-agility.com
http://www.pdxracing.net
http://www.pfadfinder-leobersdorf.com
http://www.pipni.cz
http://www.pjwstk.edu.pl
http://www.polizeimotorrad.de
http://www.proway-consulting.com
http://www.pugetsoundyc.org
http://www.pyrlandia-boogie.pl
http://www.qphoto.co.za
http://www.raecoinc.com
http://www.realgps.com
http://www.realty.kg
http://www.redlightpictures.com
http://www.reliance-yachts.com
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.rieraquadros.com.br
http://www.roaming.kg
http://www.sacohalle.be
http://www.scanex-medical.fi
http://www.scoping4success.com
http://www.sert.ru
http://www.sigi.lu
http://www.spadochron.pl
http://www.ssc.kg
http://www.ssmifc.ca
http://www.stadtmeyers.de
http://www.stadtmeyers.de:R2D2c3po@
http://www.sterlingirb.com
http://www.sunassetholdings.com
http://www.szantomierz.art.pl
http://www.szosa.pl
http://www.tambourenvereine.ch
http://www.tarnow.opoka.org.pl
http://www.tc-muraene.com
http://www.tc-muraene.com:hunter@
http://www.theroyalregistry.com
http://www.transportation.gov.bh
http://www.tumar.kg
http://www.tunguska.hu
http://www.turkeyhomes.com
http://www.turkeyhomes.com@
http://www.ulpiano.org
http://www.unicity.pl
http://www.vbw.info
http://www.velezcourtesymanagement.com
http://www.vorrix.com
http://www.webpark.pl
http://www.wecompete.com
http://www.wp.pl
http://www.wwwebad.com
http://www.xpager321.wz.cz
http://www.yamdiamonds.com
http://www.zander-yachting.com
Aunque este archivo simula ser una imagen de tipo JPG, en realidad es un archivo ejecutable perteneciente al troyano detectado por Panda Software como Trj/Downloader.BBN.
Metodo de infección:
Mitglieder.BO crea los siguientes archivos: WINSHOST.EXE en el directorio de sistema de Windows. Este archivo es una copia del troyano. WIWSHOST.EXE en el directorio de sistema de Windows. Este archivo provee funciones adicionales. _RE_FILE.EXE. Este archivo es descargado desde Internet como ZO2.JPG, pero se guarda con este nombre. Se encarga de descargar y ejecutar otro malware.
Mitglieder.BO modifica el archivo HOSTS. De este modo, evita que tanto usuarios como programas puedan acceder a las páginas web pertenecientes a diversas companías antivirus. Mitglieder.BO borra los siguientes archivos: A5V.DLL, AUPD1ATE.EXE, AUPDATE.EXE, AV.DLL, AV1SYNMGR.EXE, AVC1ONSOL.EXE, AVCONSOL.EXE, AVG23EMC.EXE, AVGC3C.EXE, AVGCC.EXE, AVGEMC.EXE, AVSYNMGR.EXE, C1CSETMGR.EXE, C6A5FIX.EXE, CAFIX.EXE, CC1EVTMGR.EXE, CC1L30.DLL, CCA1PP.EXE, CCAPP.EXE, CCEVTMGR.EXE, CCL30.DLL, CCSETMGR.EXE, CCV1RTRST.DLL, CCVRTRST.DLL, CM1GRDIAN.EXE, CMGRDIAN.EXE, IS5A6FE.EXE, ISAFE.EXE, K2A2V.EXE, KAV.EXE, KAV12MM.EXE, KAVMM.EXE, LUAL1L.EXE, LUALL.EXE, LUI1NSDLL.DLL, LUINSDLL.DLL, LUUP1DATE.EXE, LUUPDATE.EXE, MCSH1IELD.EXE, MCSHIELD.EXE, NAV1APSVC.EXE, NAVAPSVC.EXE, NPFM1NTOR.EXE, NPFMNTOR.EXE, OUTP1OST.EXE, OUTPOST.EXE, RULA1UNCH.EXE, RULAUNCH.EXE, S1YMLCSVC.EXE, SND1SRVC.EXE, SNDSRVC.EXE, SP1BBCSVC.EXE, SPBBCSVC.EXE, SYMLCSVC.EXE, UP222DATE.EXE, UP2DATE.EXE, VE6TRE5DIR.DLL, VETREDIR.DLL, VS1STAT.EXE, VS6VA5ULT.DLL, VSHW1IN32.EXE, VSHWIN32.EXE, VSSTAT.EXE, VSVAULT.DLL, ZATU6TOR.EXE, ZATUTOR.EXE, ZL5AVSCAN.DLL, ZLAVSCAN.DLL, ZLCLI6ENT.EXE, ZLCLIENT.EXE, ZO3NEALARM.EXE and ZONEALARM.EXE.
Algunos de estos archivos son fundamentales para el correcto funcionamiento de programas antivirus y cortafuegos.
Mitglieder.BO crea las siguientes entradas en el Registro de Windows: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winshost.exe = %sysdir%\ winshost.exe HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winshost.exe = %sysdir%\ winshost.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Mitglieder.BO consigue ejecutarse cada vez que Windows se inicia.
Mitglieder.BO borra las siguientes entradas del Registro de Windows, si existen: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Panda Software
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
APVXDWIN - HKEY_LOCAL_MACHINE\ SOFTWARE\ Agnitum
- HKEY_LOCAL_MACHINE\ SOFTWARE\ KasperskyLab
- HKEY_LOCAL_MACHINE\ SOFTWARE\ McAfee
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ccApp - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NAV CfgWiz - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
SSC_UserPrompt - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
McAfee Guardian - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
McAfee.InstantUpdate.Monitor - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
KAV50 - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avg7_cc - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avg7_emc - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Symantec NetDriver Monitor - HKEY_LOCAL_MACHINE\ SOFTWARE\ Symantec
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Zone Labs
Mediante su borrado, Mitglieder.BO intenta evitar que diversas herramientas de seguridad puedan ser automáticamente ejecutadas cada vez que Windows se inicia.
Metodo de propagación:
Los ordenadores afectados por el gusano Bagle.BN envían automáticamente el siguiente mensaje de correo electrónico, que tiene un archivo adjunto perteneciente a un dropper que instala Mitglieder.BO cuando es ejecutado. Este mensaje tiene las siguientes características: - Asunto: está en blanco.
- Contenido: es variable, y tiene formato HTML:
price
new price - Archivo adjunto: un archivo comprimido en formato ZIP, que contiene el archivo DOC_01.EXE, que es una copia del dropper que instala Mitglieder.BO:
PRICE.ZIP, PRICE2.ZIP, PRICE_NEW.ZIP, PRICE_08.ZIP, 08_PRICE.ZIP, NEWPRICE.ZIP, NEWPRICE.ZIP, NEW__PRICE.ZIP.
Bagle.BN envía este mensaje de correo a todas las direcciones que encuentra en el archivo EML.EXE, que descarga desde la página web http:// oceancareers.com/ z, utilizando su propio motor SMTP y el servidor smtp.earthlink.net o el que está en la dirección IP 215.5.97.137. Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
@avp., @derewrdgrs, @eerswqe, @foo, @iana, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip. Cuando el archivo adjunto es ejecutado, el dropper inyecta el archivo ejecutable WIWSHOST.EXE en el proceso de sistema EXPLORER.EXE. Otros detalles:
Mitglieder.BO está escrito en el lenguaje de programación Visual C. Este troyano tiene un tamaño de 18944 Bytes. Por su parte, el dropper que lo instala tiene un tamaño de 34304 Bytes y está comprimido con PeX v0.99b. |
