Worm.W32/Bagle.AR@P2P+MM

Alias:
W32.Beagle.AR@mm (Symantec), WORM_BAGLE.AM (Trend Micro), W32/Bagle.BB.worm (Panda Software), W32/Bagle.az@MM (McAfee), Win32.Bagle.AM (Computer Associates), Win32/Bagle.AQ (Enciclopedia Virus), I-Worm.Bagle.as (Kaspersky (viruslist.com)), W32/Bagle-AZ (Otros), Win32.Bagle.AU@mm (Bit Defender)

Descripción:
Nueva y peligrosa variante Bagle que utiliza el correo electrónico y las redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.)

Utiliza varios mutex para prevenir que otros gusanos puedan ejecutarse.

Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso.

Posee un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos.

Intenta descargar un archivo con extensión JPG de numerosos sitios de Internet.

Detalles:
Instalación

Al ejecutarse, crea los siguientes ficheros:

• C:\Windows\System\bawindo.exe.
• C:\Windows\System\bawindo.exeopen
• C:\Windows\System\bawindo.exeopenopen
• C:\Windows\System\re_file.exe

  De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Modifica o crea las siguientes entradas en el registro:

HKCU\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
bawindo = c:\windows\system\bawindo.exe.

Borra en las siguientes claves del registro cualquier entrada que contenga alguna de las siguientes cadenas:

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  9XHtProtect 
  Antivirus 
  EasyAV 
  FirewallSvr 
  HtProtect 
  ICQ Net 
  ICQNet 
  Jammer2nd 
  KasperskyAVEng 
  MsInfo 
  My AV 
  NetDy 
  Norton Antivirus AV 
  PandaAVEngine 
  SkynetsRevenge 
  Special Firewall Service 
  SysMonXP 
  Tiny AV 
  Zone Labs Client Ex 
  service  

 
  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  9XHtProtect 
  Antivirus 
  EasyAV 
  FirewallSvr 
  HtProtect 
  ICQ Net 
  ICQNet 
  Jammer2nd 
  KasperskyAVEng 
  MsInfo 
  My AV 
  NetDy 
  Norton Antivirus AV 
  PandaAVEngine 
  SkynetsRevenge 
  Special Firewall Service 
  SysMonXP 
  Tiny AV 
  Zone Labs Client Ex 
  service

Propagación

Puede llegar en un mensaje con las siguientes características:

De: [una dirección falsa]

Asunto: [uno de los siguientes]

• Re:
• Re: Hello
• Re: Hi
• Re: Thank you!
• Re: Thanks :)

Texto del mensaje: :))

Datos adjuntos: [nombre]+[extensión]

• Price
• price
• Joke

Y [extensión] es alguna de las siguientes:

• .com
• .cpl
• .exe
• .scr

Se envía todas las direcciones que obtenga de los siguientes archivos:

• .adb
• .asp
• .cfg
• .cgi
• .dbx
• .dhtm
• .eml
• .htm
• .jsp
• .mbx
• .mdx
• .mht
• .mmf
• .msg
• .nch
• .ods
• .oft
• .php
• .pl
• .sht
• .shtm
• .stm
• .tbb
• .txt
• .uin
• .wab
• .wsh
• .xls
• .xml

Evita enviarse a direcciones que contengan las siguientes cadenas:

• @avp.
• @foo
• @hotmail
• @iana
• @messagelab
• @microsoft
• @msn
• abuse
• admin
• anyone@
• bsd
• bugs@
• cafee
• certific
• contract@
• f-secur
• feste
• free-av
• gold-certs@
• google
• help@
• icrosoft
• info@
• kasp
• linux
• listserv
• local
• news
• nobody@
• noone@
• noreply
• ntivi
• panda
• pgp
• postmaster@
• rating@
• root@
• samples
• sopho
• spam
• support
• unix
• update
• winrar
• winzip

Abre una puerta trasera en el equipo infectado, utiliza los puertos TCP 81 y UDP 81 para utilizar el equipo como un repetidor de correo electronico.

Puede propagarse por redes P2P, para ello se copia con los siguientes nombres en todas las carpetas que incluyan la palabra "SHAR" en su nombre:

• ACDSee 9.exe
• Adobe Photoshop 9 full.exe
• Ahead Nero 7.exe
• Kaspersky Antivirus 5.0
• KAV 5.0
• Matrix 3 Revolution English Subtitles.exe
• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Office XP working Crack, Keygen.exe
• Microsoft Windows XP, WinXP Crack, working Keygen.exe
• Opera 8 New!.exe
• Porno pics arhive, xxx.exe
• Porno Screensaver.scr
• Porno, sex, oral, anal cool, awesome!!.exe
• Serials.txt.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• WinAmp 6 New!.exe
• Windown Longhorn Beta Leak.exe
• Windows Sourcecode update.doc.exe
• XXX hardcore images.exe

Crea los siguientes mutex para no ejecutarse mas de una vez en memoria:

  MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D 
  "D"r"o"p"p"e"d"S"k"y"N"e"t" 
  _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ 


  [SkyNet.cz]SystemsMutex 
  AdmSkynetJklS003 
  ____--->>>>U<<<<--____ 
  _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Intenta descargar desde los siguientes sitios un archivo llamado "WS.JPG":

• www.24-7-transportation.com
• www.DarrkSydebaby.com
• www.FritoPie.NET
• www.adhdtests.com
• www.aegee.org
• www.aimcenter.net
• www.alupass.lu
• www.amanit.ru
• www.andara.com
• www.angelartsanctuary.com
• www.anthonyflanagan.com
• www.approved1stmortgage.com
• www.argontech.net
• www.asianfestival.nl
• www.atlantisteste.hpg.com.br
• www.aviation-center.de
• www.bbsh.org
• www.bga-gsm.ru
• www.boneheadmusic.com
• www.bottombouncer.com
• www.bradster.com
• www.buddyboymusic.com
• www.bueroservice-it.de
• www.calderwoodinn.com
• www.capri-frames.de
• www.celula.com.mx
• www.ceskyhosting.cz
• www.chinasenfa.com
• www.cntv.info
• www.compsolutionstore.com
• www.coolfreepages.com
• www.corpsite.com
• www.couponcapital.net
• www.cpc.adv.br
• www.crystalrose.ca
• www.crystalrose.ca
• www.cscliberec.cz
• www.curtmarsh.com
• www.customloyal.com
• www.deadrobot.com
• www.dontbeaweekendparent.com
• www.dragcar.com
• www.ecofotos.com.br
• www.elenalazar.com
• www.ellarouge.com.au
• www.esperanzaparalafamilia.com
• www.eurostavba.sk
• www.everett.wednet.edu
• www.fcpages.com
• www.featech.com
• www.fepese.ufsc.br
• www.firstnightoceancounty.org
• www.flashcorp.com
• www.fleigutaetscher.ch
• www.fludir.is
• www.freeservers.com
• www.gamp.pl
• www.gci-bln.de
• www.gcnet.ru
• www.generationnow.net
• www.gfn.org
• www.giantrevenue.com
• www.glass.la
• www.handsforhealth.com
• www.hartacorporation.com
• www.himpsi.org
• www.idb-group.net
• www.immonaut.sk
• www.ims-i.com
• www.innnewport.com
• www.irakli.org
• www.irinaswelt.de
• www.jansenboiler.com
• www.jasnet.pl
• www.jhaforpresident.7p.com
• www.jimvann.com
• www.jldr.ca
• www.justrepublicans.com
• www.kencorbett.com
• www.knicks.nl
• www.kps4parents.com
• www.kradtraining.de
• www.kranenberg.de
• www.lasermach.com
• www.leonhendrix.com
• www.magicbottle.com.tw
• www.mass-i.kiev.ua
• www.mepbisu.de
• www.mepmh.de
• www.metal.pl
• www.mexis.com
• www.mongolische-renner.de
• www.mtfdesign.com
• www.oboe-online.com
• www.ohiolimo.com
• www.onepositiveplace.org
• www.oohlala-kirkland.com
• www.orari.net
• www.pankration.com
• www.pe-sh.com
• www.pfadfinder-leobersdorf.com
• www.pipni.cz
• www.polizeimotorrad.de
• www.programmierung2000.de
• www.pyrlandia-boogie.pl
• www.raecoinc.com
• www.realgps.com
• www.redlightpictures.com
• www.reliance-yachts.com
• www.relocationflorida.com
• www.rentalstation.com
• www.rieraquadros.com.br
• www.scanex-medical.fi
• www.sea.bz.it
• www.selu.edu
• www.sigi.lu
• www.sljinc.com
• www.smacgreetings.com
• www.soloconsulting.com
• www.spadochron.pl
• www.srg-neuburg.de
• www.ssmifc.ca
• www.sugardas.lt
• www.sunassetholdings.com
• www.szantomierz.art.pl
• www.the-fabulous-lions.de
• www.tivogoddess.com
• www.tkd2xcell.com
• www.topko.sk
• www.transportation.gov.bh
• www.travelchronic.de
• www.traverse.com
• www.uhcc.com
• www.ulpiano.org
• www.uslungiarue.it
• www.vandermost.de
• www.vbw.info
• www.velezcourtesymanagement.com
• www.velocityprint.com
• www.vikingpc.pl
• www.vinirforge.com
• www.wecompete.com
• www.worest.com.ar
• www.woundedshepherds.com
• www.wwwebad.com
• www.wwwebmaster.com

El gusano puede finalizar la ejecución de los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos, así como a utilidades del propio Windows (el editor del registro, etc.):

• alogserv.exe
• APVXDWIN.EXE
• ATUPDATER.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• Avconsol.exe
• AVENGINE.EXE
• AVPUPD.EXE
• Avsynmgr.exe
• AVWUPD32.EXE
• AVXQUAR.EXE
• blackd.exe
• ccApp.exe
• ccEvtMgr.exe
• ccProxy.exe
• ccPxySvc.exe
• CFIAUDIT.EXE
• DefWatch.exe
• Downloading
• DRWEBUPW.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• FIREWALL.EXE
• FrameworkService.exe
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• LUALL.EXE
• LUCOMS~1.EXE
• mcagent.exe
• mcshield.exe
• MCUPDATE.EXE
• mcvsescn.exe
• mcvsrte.exe
• mcvsshld.exe
• navapsvc.exe
• navapw32.exe
• NISUM.EXE
• nopdb.exe
• NPROTECT.EXE
• NUPGRADE.EXE
• OUTPOST.EXE
• PavFires.exe
• pavProxy.exe
• pavsrv50.exe
• Rtvscan.exe
• RuLaunch.exe
• SAVScan.exe
• SHSTAT.EXE
• SNDSrvc.exe
• symlcsvc.exe
• UPDATE.EXE
• UpdaterUI.exe
• Vshwin32.exe
• VsStat.exe
• VsTskMgr.exe

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine las siguientes entradas del registro:

   HKCU\SOFTWARE\Microsoft\Windows
   \CurrentVersion\Run
   bawindo = c:\windows\system\bawindo.exe.
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Symantec
• Panda Antivirus
• McAfee

Fuente: red.es