LatinoSeguridad

Menú

Importante

Alerta de virus

Worm-Backdoor.WNT/Bagle.AH@P2P+MM

Alias:
W32/Bagle.AH.worm (Panda Software), WORM_BAGLE.AH (Trend Micro), W32.Beagle.AG@mm (Symantec), Win32.Bagle.AE (Computer Associates), W32/Bagle.ah@MM (McAfee), W32/Bagle-AG (Sophos), Win32/Bagle.AH (Computer Associates), Win32/Bagle.drp.gen2 (Computer Associates)

Descripción:
Bagle.AH es un gusano que sólo afecta a ordenadores con Windows XP/2000/NT. Bagle.AH abre un puerto TCP y permanece a la escucha, en espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.

Bagle.AH finaliza procesos pertenecientes a programas antivirus y firewalls, entre otros. Esto deja el ordenador afectado vulnerable frente al ataque de otros malware.

Adicionalmente, este gusano se conecta a diversas páginas web que albergan un script PHP. También elimina las entradas del Registro de Windows pertenecientes a diversas variantes del gusano Netsky.

Bagle.AG se propaga a través del correo electrónico, en mensajes escritos en inglés, y de programas de intercambio de ficheros punto a punto (P2P).

Detalles:
Efectos

Bagle.AH realiza las siguientes acciones en ordenadores con Windows XP/2000/NT:

Abre un puerto TCP y permanece a la escucha, en espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.

Finaliza procesos pertenecientes a otros virus y a programas antivirus y cortafuegos, entre otros:

AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.exe, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.

Finalizando los procesos asociados a herramientas de seguridad, Bagle.AH deja el ordenador afectado vulnerable frente al ataque de otros malware.

Se conecta a diversas páginas web que albergan un script PHP:

http://abtacha.wirebrain.de/o.php
http://begros.de/o.php
http://deepiceman.de/o.php
http://dfk-crew.clanintern.de/o.php
http://die-cliquee.de/o.php
http://edwinf.surfplanet.de/o.php
http://knecht.cs.uni-magdeburg.de/o.php
http://login.rz.fh-augsburg.de/o.php
http://niematec.de/o.php
http://obechmann.de/o.php
http://pe-data.de/o.php
http://people-ftp.freenet.de/o.php
http://people-ftp.freenet.de/o.php
http://people-ftp.freenet.de/o.php
http://ronnyackermann.de/o.php
http://sgi1.rz.rwth-aachen.de/o.php
http://symbit.de/o.php
http://tripod.de/o.php
http://web154.essen082.server4free.de/o.php
http://web216.berlin240.server4free.de/o.php
http://www.aachen.de/o.php
http://www.abacho.de/o.php
http://www.anwaltverein.de//o.php
http://www.aquarius.geomar.de/o.php
http://www.astronomie.de/o.php
http://www.atlantis-show.de/o.php
http://www.atlas-hannover.de/o.php
http://www.awi-bremerhaven.de/o.php
http://www.baden-wuerttemberg.de/o.php
http://www.bayerninfo.de/o.php
http://www.beck.de/o.php
http://www.berlinonline.de/o.php
http://www.bessy.de/o.php
http://www.bitburger.de/o.php
http://www.blk-bonn.de//o.php
http://www.bmgs.bund.de/o.php
http://www.brigitte.de/o.php
http://www.bundesliga.de/o.php
http://www.calistyler.de/o.php
http://www.citypopulation.de/o.php
http://www.dar-fantasy.de/o.php
http://www.dasding.de/o.php
http://www.degruyter.de/o.php
http://www.destatis.de/o.php
http://www.dortmund.de/o.php
http://www.duden.de/o.php
http://www.dwelle.de/o.php
http://www.empire-show.de/o.php
http://www.eumetsat.de/o.php
http://www.europarl.de/o.php
http://www.expo2000.de/o.php
http://www.fernuni-hagen.de/o.php
http://www.finanznachrichten.de/o.php
http://www.firstgate.de/o.php
http://www.frankfurt-airport.de/o.php
http://www.frankfurter-buchmesse.de/o.php
http://www.freiburg.de/o.php
http://www.gantke-net.de/o.php
http://www.gelbeseiten.de/o.php
http://www.gtz.de/o.php
http://www.gutenberg2000.de/o.php
http://www.hannobunz.de/o.php
http://www.heidelberg.de/o.php
http://www.helmholtz.de/o.php
http://www.hosteurope.de/o.php
http://www.h-p-i.de/o.php
http://www.immobilienscout24.de/o.php
http://www.jugendherberge.de/o.php
http://www.kabel1.de/o.php
http://www.kalenderblatt.de/o.php
http://www.karlsruhe.de/o.php
http://www.king-alp.de/o.php
http://www.king-alp.de/o.php
http://www.klug-suchen.de/o.php
http://www.kompetenznetze.de/o.php
http://www.kompetenzz.de/o.php
http://www.krebsinformation.de/o.php
http://www.lords-of-havoc.de/o.php
http://www.lufthansa.de/o.php
http://www.lupo18t.de/o.php
http://www.mathguide.de/o.php
http://www.math-net.de/o.php
http://www.mdirk.de/o.php
http://www.medicine-worldwide.de/o.php
http://www.meinestadt.de/o.php
http://www.messe-duesseldorf.de/o.php
http://www.messe-muenchen.de/o.php
http://www.mohr.de/o.php
http://www.monster.de/o.php
http://www.munich-airport.de/o.php
http://www.mupad.de/o.php
http://www.murczak.de/o.php
http://www.murczak.de/o.php
http://www.niedersachsen.de/o.php
http://www.nuernbergmesse.de/o.php
http://www.onlinereviewguide.com/o.php
http://www.pcwelt.de/o.php
http://www.photokina.de/o.php
http://www.rapz-records.de/o.php
http://www.regtp.de/o.php
http://www.renewables2004.de/o.php
http://www.ruhr-uni-bochum.de/o.php
http://www.saarbruecken.de/o.php
http://www.saarland.de/o.php
http://www.schaubuehne.de/o.php
http://www.schulen-ans-netz.de/o.php
http://www.slowfood.de/o.php
http://www.staedtetag.de/o.php
http://www.stellenmarkt.de/o.php
http://www.stepstone.de/o.php
http://www.stifterverband.de/o.php
http://www.stricker-doerpen.de/o.php
http://www.studentenwerke.de/o.php
http://www.stufenlos-regelbar.de/o.php
http://www.stuttgart.de/o.php
http://www.stuttgarter-zeitung.de/o.php
http://www.superstar-nord.de/o.php
http://www.sysserver1.de/o.php
http://www.szakos.de/o.php
http://www.szakos.de/o.php
http://www.testdaf.de/o.php
http://www.tu-darmstadt.de/o.php
http://www.tu-dresden.de/o.php
http://www.tu-muenchen.de/o.php
http://www.umweltbundesamt.de/o.php
http://www.uni-bremen.de/o.php
http://www.unibw-muenchen.de/o.php
http://www.uni-duesseldorf.de/o.php
http://www.uni-duisburg-essen.de/o.php
http://www.uni-frankfurt.de/o.php
http://www.uni-jena.de/o.php
http://www.uni-mannheim.de/o.php
http://www.uni-marburg.de/o.php
http://www.uni-osnabrueck.de/o.php
http://www.uni-tuebingen.de/o.php
http://www.urlaubstage.de/o.php
http://www.vwschubert.de/o.php
http://www.webhits.de/o.php
http://www.wiley-vch.de/o.php
http://www.wissenschaft-online.de/o.php
http://zeus05.de/o.php
http://zille.cs.uni-magdeburg.de/o.php

Evita que algunas variantes del gusano Netsky puedan ejecutarse.

Metodo de Infección

Bagle.AH crea los siguientes archivos en el directorio de sistema de Windows:

SYSXP.EXE. Este archivo es una copia del gusano.
SYSXP.EXEOPEN y SYSXP.EXEOPENOPEN.

Bagle.AH crea la siguiente entrada en el Registro de Windows:

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
key = %sysdir%\ sysxp.exe

donde %sysdir% es el directorio de sistema de Windows. Mediante esta entrada, Bagle.AH consigue ejecutarse cada vez que Windows se inicia.

Bagle.AH borra las siguientes entradas del Registro de Windows, si existen: Borra de las siguientes rutas:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

todas las entradas con alguno de los siguientes nombres:

Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net

De este modo, evita que algunas variantes del gusano Netsky puedan ser ejecutadas automáticamente cada vez que Windows se inicie.

Método de Propagación

Bagle.AH se propaga a través del correo electrónico y de los programas de intercambio de ficheros P2P.

1.- Propagación a través de correo electrónico.

Bagle.AH realiza el siguiente proceso:

Llega al ordenador afectado en un mensaje escrito en inglés de características variables:

Remitente: Bagle.AH falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones.
Asunto: uno de los siguientes:
- Re:
Contenido: tiene formato HTML. Cuando se visualiza como texto plano, Puede ser uno de los siguientes textos:
- Predators
- Lovely animals
- fotoinfo
- The snake
- Animals
Achivo adjunto: tiene un nombre y extensión variables:
- Posibles nombres: Serials.txt.exe, Porno Screensaver.scr, Microsoft Office 2003 Crack, Working!.exe, Music_MP3.com
- Posibles extensiones: COM, CPL, EXE, SCR, ZIP.
Dicho archivo podría estar comprimido en formato ZIP, y protegido mediante contraseña.
El ordenador es afectado cuando el archivo adjunto es ejecutado.

Bagle.AH busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.

Bagle.AH se envía a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.

Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas: @avp., @foo, @hotmail, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip.

2.- Propagación a través de programas de intercambio de ficheros.

Bagle.AH realiza el siguiente proceso:

Crea copias de sí mismo en los directorios compartidos de dichos programas, como por ejemplo Bearshare, KaZaA, Limewire, Morpheus, etc.:

c:\ My Shared Folder\
c:\ Program Files\ BearShare\
c:\ Program Files\ BearShare\ Shared\
c:\ Program Files\ Common Files\ Microsoft Shared\
c:\ Program Files\ Grokster\ My Shared Folder\
c:\ Program Files\ ICQ\ Shared Files\
c:\ Program Files\ Kazaa Lite\ My Shared Folder\
c:\ Program Files\ Kazaa\ My Shared Folder\
c:\ Program Files\ KMD\ My Shared Folder\
c:\ Program Files\ LimeWire\ Shared\
c:\ Program Files\ Morpheus\ My Shared Folder\
c:\ Program Files\ Rapigator\ Share\
c:\ Program Files\ Shareaza\
c:\ Program Files\ WinMX\ My Shared Folder\
c:\ WINDOWS\ ime\ shared\

Para ello, utiliza los siguientes nombres de archivo:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.AH, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.AH.

Otros Detalles

Bagle.AH está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño variable de entre 21 y 35 KBytes cuando está comprimido mediante PeX v0.99b modificado.

Bagle.AH crea alguno de los siguientes mutex, para asegurarse de que no haya más de una copia de sí mismo ejecutándose al mismo tiempo:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Adicionalmente, con esta técnica, consigue que las variantes de Netsky que utilizan dichos nombres de mutex no puedan ejecutarse.

Solución:

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.

Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine el siguiente valor:
key = %sysdir%\ sysxp.exe
de la siguiente clave del registro:
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es