Virus Bagle.Q

Efectos:

Bagle.Q realiza las siguientes acciones:

• Infecta ficheros PE, incrementando su tamaño en 26 KBytes.
• Se conecta a varias direcciones IP e intenta descargar y ejecutar un fichero en el ordenador afectado.
  Para ver la lista completa de direcciones IP a las que se conecta, pulse aquí.
• Termina los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema, entre otros:
  AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET.EXE, CFINET32.EXE, CFINET32.EXE, CLEAN.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANER3.EXE, CLEANPC.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMGRDIAN.EXE, CMON016.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLO

  Metodo de infección:

  Bagle.Q crea los ficheros DIRECTS.EXE y DIRECTS.EXEOPEN en el directorio de sistema de Windows. Estos ficheros son una copia del gusano.

  Bagle.Q crea la siguiente entrada en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    directs.exe = %sysdir%\ directs.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Bagle.Q se asegura de que es ejecutado cada vez que se inicia Windows.

  Metodo de propagación:

  Bagle.Q se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

  1.- Propagación a través de correo electrónico.

  Bagle.Q realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:
    
    Remitente:
    Bagle.Q falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
    
    Asunto: uno de los siguientes:
    Account notify
    E-mail account disabling warning.
    E-mail account security warning.
    Email account utilization warning.
    Email report
    E-mail technical support message.
    E-mail technical support warning.
    E-mail warning
    Encrypted document
    Fax Message Received
    Forum notify
    Hidden message
    Important notify
    Important notify about your e-mail account.
    Incoming message
    Notify about using the e-mail account.
    Notify about your e-mail account utilization.
    Notify from e-mail technical support.
    Protected message
    Re: Document
    Re: Hello
    Re: Hi
    Re: Incoming Fax
    Re: Incoming Message
    Re: Msg reply
    RE: Protected message
    RE: Text message
    Re: Thank you!
    Re: Thanks :)
    Re: Yahoo!
    Request response
    Site changes
    Warning about your e-mail account.
    
    Contenido:
    El mensaje enviado por Bagle.Q incluye un código HTML. Este código aprovecha una vulnerabilidad de Internet Explorer que permite ejecutar cualquier programa arbitrario en el ordenador afectado.
    Para aprender más sobre esta vulnerabilidad y protegerse contra ella, acceda a la página de Microsoft pulsando aquí.
    
    Fichero adjunto: no contiene ningún fichero adjunto.
  • Cuando el mensaje es visualizado, Bagle.Q descarga un fichero al ordenador.
  • Bagle.Q busca direcciones de correo electrónico en ficheros que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
  • Bagle.Q se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
  • Bagle.Q realiza consultas MX para obtener las direcciones IP de los dominios de correo.

  2.- Propagación a través de programas de intercambio de ficheros.

  Bagle.Q realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios que contengan la cadena de texto shar. Utiliza los siguientes nombres de fichero:
    ACDSee 9.exe
    Adobe Photoshop 9 Full.exe
    Ahead Nero7.exe
    Matrix 3 Revolution English Subtitles.exe
    Microsoft Office 2003 Crack, Working!.exe
    Microsoft OfficeXP working Crack, Keygen.exe
    Microsoft Windows XP, WinXP Crack,working Keygen.exe
    Opera 8 New!.exe
    Porno pics arhive, xxx.exe
    Porno Screensaver.scr
    Porno,sex, oral, analcool, awesome!!.exe
    Serials.txt.exe
    WinAmp 6 New!.exe
    WinAmp5 Pro Keygen Crack Update.exe
    Windown Longhorn Beta Leak.exe
    Windows Sourcecode update.doc.exe
    XXX hardcore images.exe
  • Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.Q.
  • Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.Q.

  Otros detalles:

  Bagle.Q está escrito en el lenguaje de programación Visual C++. Este virus tiene un tamaño de 25600 Bytes y está comprimido mediante UPX.