Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Bagle.AI@P2P+MM

Alias:
W32/Bagle.ai@MM (McAfee), I-Worm.Bagle.ai (Kaspersky (viruslist.com)), W32/Bagle-AI (Sophos), W32/Bagle.AI (VS Antivirus)

Descripción:
Variante del Bagle (gusano escrito en Visual C), de gran propagación. Su código está basado en el código fuente distribuido por otras versiones del propio gusano.

Los adjuntos poseen extensiones .EXE, .SCR, .COM, .CPL o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus.

Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)

Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.

Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.

Detalles:
Efectos

Bagle.AI realiza las siguientes acciones:

Abre puertos TCP/1080 y UDP/1040 y permanece a la escucha, en espera de que se realice una conexión remota. A través de ella, permite el acceso remoto al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo, incluso para actualizarse a sí mnismo.

Finaliza procesos pertenecientes a otros virus y a programas antivirus y cortafuegos, entre otros:

AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.exe, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.

Finalizando los procesos asociados a herramientas de seguridad, Bagle.AI deja el ordenador afectado vulnerable frente al ataque de otros malware.

Se conecta a diversas páginas web que albergan un script PHP(actualmente desactivado).

Metodo de Infección

Bagle.AI crea los siguientes archivos en el directorio de sistema de Windows:

  • c:\windows\system\winxp.exe
  • c:\windows\system\winxp.exeopen
  • c:\windows\system\winxp.exeopenopen
  • c:\windows\system\winxp.exeopenopenopen
  • c:\windows\system\winxp.exeopenopenopenopen

Crea la siguiente entrada en el Registro de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
key = c:\windows\system\winxp.exe

Crea también la siguiente entrada para almacenar valores de su configuración actual:

HKCU\Software\DateTime

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Método de Propagación

Se propaga a través del correo electrónico y de los programas de intercambio de ficheros P2P.

1.- Propagación a través de correo electrónico.

Bagle.AH realiza el siguiente proceso:

Llega al ordenador afectado en un mensaje escrito en inglés de características variables:

  • Remitente: Falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones.

     

  • Asunto:
    • Re:

     

  • Contenido: tiene formato HTML. Cuando se visualiza como texto plano, Puede ser uno de los siguientes textos:
    • Animals
    • foto3 and MP3
    • fotogalary and Music
    • fotoinfo
    • Lovely animals
    • Predators
    • Screen and Music
    • The snake

     

  • Achivo adjunto: tiene un nombre y extensión variables:
    • Cat
    • Cool_MP3
    • Dog
    • Doll
    • Fish
    • Garry
    • MP3
    • Music_MP3
    • New_MP3_Player

    Dicho nombre, puede tener alguna de las siguientes extensiones:

     

    • .com
    • .cpl
    • .exe
    • .scr
    • .zip [con contraseña]

    Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el asunto del mensaje puede ser uno de los siguientes:

     

    • Key - [contraseña]
    • Pass - [contraseña]
    • Password: [contraseña]

    Y el texto de los mensajes puede ser alguno de los siguientes:

     

    • For security reasons attached file is password protected. The password is [contraseña]
    •  
    • For security purposes the attached file is password protected. Password -- [contraseña]
    • Note: Use password [contraseña] to open archive.
    • Attached file is protected with the password for security reasons. Password is [contraseña]
    • In order to read the attach you have to use the following password: [contraseña]
    • Archive password: [contraseña]
    • Password - [contraseña]
    • Password: [contraseña]

    Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos.

    El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL).

    En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres con extensión .EXE. También contiene un segundo archivo conteniendo solo basura, con nombre al azar y alguna de las siguientes extensiones:

     

    • .cfg
    • .def
    • .dll
    • .doc
    • .ini
    • .txt
    • .vxd

Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones:

  • .adb
  • .asp
  • .cfg
  • .cgi
  • .dbx
  • .dhtm
  • .eml
  • .htm
  • .jsp
  • .mbx
  • .mdx
  • .mht
  • .mmf
  • .msg
  • .nch
  • .ods
  • .oft
  • .php
  • .pl
  • .sht
  • .shtm
  • .stm
  • .tbb
  • .txt
  • .uin
  • .wab
  • .wsh
  • .xls
  • .xml

Ignora direcciones de correo que contengan las siguientes cadenas:

  • @avp.
  • @foo
  • @iana
  • @messagelab
  • @microsoft
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google
  • help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • news
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • update
  • winrar
  • winzip

2.- Propagación por redes P2P de compartición de ficheros entre usuarios

El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres:

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Kaspersky Antivirus 5.0
  • KAV 5.0
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Process Killing
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

También intenta acceder a determinados sitios de Internet, para notificar su presencia vía HTTP, con una solicitud GET.

Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.AH, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.AH.

Otros Detalles

Bagle.AI está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño variable cuando está comprimido mediante PeX v0.99b modificado..

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    Borrar manualmente archivos agregados por el virus

    Desde el Explorador de Windows, localice y borre los siguientes archivos:

     

    • c:\windows\system\winxp.exe
    • c:\windows\system\winxp.exeopen
    • c:\windows\system\winxp.exeopenopen
    • c:\windows\system\winxp.exeopenopenopen
    • c:\windows\system\winxp.exeopenopenopenopen

    Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

    4.1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

    4.2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows
    \CurrentVersion
    \Run 

    4.3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    key 

    4.4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_CURRENT_USER
    \Software
    \DateTime 

    4.5. Pinche en la carpeta "DateTime" y bórrela.

    4.6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

  5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados