Worm/Bagle.FJ - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Bagle.FJ
Descubierto:	04/02/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~20.000 Bytes
Versión del VDF:	6.33.00.195

General Métodos de propagación:
   • Correo electrónico
   • Peer to Peer

Alias:
   • Symantec: W32.Beagle.DN@mm
   • Mcafee: W32/Bagle.dq@MM
   • Kaspersky: Email-Worm.Win32.Bagle.fk
   • TrendMicro: WORM_BAGLE.EF
   • Bitdefender: Trojan.Downloader.Bagle.EO

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\windspl.exe

Se copia a sí mismo a los lugares siguientes. Estos archivos tienen un número indeterminado de bytes adjuntos, de forma que pueden ser distintos al original:
   • %SYSDIR%\windspl.exeopen
   • %SYSDIR%\windspl.exeopenopen

Crea el siguiente fichero:

– %WINDIR%\regisp32.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Bagle.FJ

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DsplObjects = %SYSDIR%\windspl.exe

Elimina del registro de Windows los valores de las siguientes claves:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ICQ Net
   • SkynetsRevenge
   • KasperskyAVEng
   • Norton Antivirus AV
   • PandaAVEngine
   • EasyAV
   • SysMonXP
   • MsInfo
   • FirewallSvr
   • Jammer2nd
   • NetDy
   • HtProtect
   • ICQNet
   • Tiny AV
   • service
   • Special Firewall Service
   • Antivirus
   • 9XHtProtect
   • Zone Labs Client Ex
   • My AV

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
Uno de los siguientes:
   • Gwd: Msg reply; Gwd: Hello :-); Gwd: Yahoo!!!; Gwd: Thank you!; Gwd:
      Thanks :); Gwd: Text message; Gwd: Document; Gwd: Incoming message;
      Gwd: Incoming Message; Gwd: Incoming Msg; Gwd: Message Notify; Gwd:
      Notification; Gwd: Changes..; Gwd: Update; Gwd: Fax Message; Gwd:
      Protected message; Gwd: Protected message; Gwd: Forum notify; Gwd:
      Site changes; Gwd: Hi; Gwd: crypted document

El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Ok. Read the attach.
   • Ok. Your file is attached.
   • Ok. More info is in attach
   • Ok. See attach.
   • Ok. Please, have a look at the attached file.
   • Ok. Your document is attached.
   • Ok. Please, read the document.
   • Ok. Attach tells everything.
   • Ok. Attached file tells everything.
   • Ok. Check attached file for details.
   • Ok. Check attached file.
   • Ok. Pay attention at the attach.
   • Ok. See the attached file for details.
   • Ok. Message is in attach
   • Ok. Here is the file.

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

– Empieza por uno de los siguientes:
   • www.cumonherface
   • Details
   • XXX_livebabes
   • XXX_PornoUpdates
   • xxxporno
   • fuck_her
   • Info
   • Common
   • MoreInfo
   • Message

    La extensión del fichero es una de las siguientes:
   • .exe
   • .scr
   • .com
   • .zip
   • .vbs
   • .hta
   • .cpl

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .wab; .txt; .msg; .htm; .shtm; .stm; .xml; .dbx; .mbx; .mdx; .eml;
      .nch; .mmf; .ods; .cfg; .asp; .php; .pl; .wsh; .adb; .tbb; .sht; .xls;
      .oft; .uin; .cgi; .mht; .dhtm; .jsp

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • @hotmail; @msn; @microsoft; rating@; f-secur; news; update; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      kasp; admin; icrosoft; support; ntivi; unix; bsd; linux; listserv;
      certific; sopho; @foo; @iana; free-av; @messagelab; winzip; google;
      winrar; samples; abuse; panda; cafee; spam; pgp; @avp.; noreply;
      local; root@; postmaster@

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:

–   Busca directorios que contengan la siguiente subserie de caracteres:
   • shar

   Al tener éxito, crea los siguientes ficheros:
   • Microsoft Office 2003 Crack, Working!.exe; Microsoft Windows XP, WinXP
      Crack, working Keygen.exe; Microsoft Office XP working Crack,
      Keygen.exe; Porno, sex, oral, anal cool, awesome!!.exe; Porno
      Screensaver.scr; Serials.txt.exe; KAV 5.0; Kaspersky Antivirus 5.0;
      Porno pics arhive, xxx.exe; Windows Sourcecode update.doc.exe; Ahead
      Nero 7.exe; Windown Longhorn Beta Leak.exe; Opera 8 New!.exe; XXX
      hardcore images.exe; WinAmp 6 New!.exe; WinAmp 5 Pro Keygen Crack
      Update.exe; Adobe Photoshop 9 full.exe; Matrix 3 Revolution English
      Subtitles.exe; ACDSee 9.exe

Backdoor (Puerta trasera) Abre el siguiente puerto:

– windspl.exe en el puerto TCP 6777 para proporcionar capabilidades de backdoor.

Servidor contactado:
El siguiente:
• http://ijj.**********

Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
• Estado actual del programa viral

Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • In a difficult world
   • In a nameless time
   • I want to survive
   • So, you will be mine!!
   • -- Bagle Author, 29.04.04, Germany.

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Fri, 10 Feb 2006 17:25 (GMT+1)
Descripción actualizada por Andrei Gherman el Mon, 13 Feb 2006 11:37 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver