con fecha de caducidad, ya que dejará de propagarse el 28 de enero.
El formato del mensaje en el que viaja "Bagle" permite a los usuarios reconocerlo a simple vista, ya que en esta primera versión del gusano
(de momento única) utiliza algunos textos fijos:
Asunto: Hi
Cuerpo:
Test =)
[caracteres aleatorios]
--
Test, yep.
Adjunto: [nombre aleatorio].exe
El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, construye su nombre de forma aleatoria, con una longitud que puede variar de 3 a 11 caracteres, y se presenta con el icono de la calculadora de Windows. Cuando un usuario lo ejecuta, y siempre que la fecha del sistema no sea igual o mayor al 28 de enero de 2004, el gusano ejecuta la calculadora de Windows para que el usuario no sospeche y crea que en realidad se trata de esta utilidad. Sin embargo, sin que el usuario pueda percatarse a simple vista, "Bable" comenzará su rutina de infección y propagación. En primer lugar se copia en el directorio de sistema de Windows como bbeagle.exe e introduce la siguiente entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe Adicionalmente crea las siguientes entradas: HKEY_CURRENT_USER\Software\Windows98 "frun" HKEY_CURRENT_USER\Software\Windows98 "uid" La propagación se realiza a través de su propio motor SMTP, buscando las direcciones a las que autoenviarse en los archivos del sistema con extensión .wab, .txt, .htm y .html. Además, para dificultar la labor de detectar los sistemas infectados desde los que se envía, "Bable" falsea la dirección de remitente. El gusano lleva en su código una serie de textos, que corresponden a dominios, de forma que evita enviarse a las direcciones que los contengan: @hotmail.com, @msn.com, @microsoft y @avp. "Bable" también incluye capacidades de backdoor o puerta trasera, ya que abre en los ordenadores infectados el puerto TCP 6777 para permitir el acceso remoto. El gusano incluye en su código una rutina que se conectaba a diferentes sitios para intercambiar datos, si bien todas las páginas PHP a las que hacía referencia han sido anuladas. La reacción de las diferentes casas antivirus en proporcionar la actualización pertinente a sus usuarios para que pudieran reconocer a "Bagle" fue la siguiente: Kaspersky el 18/01/2004 a las 15:03:52 como I-Worm.Bagle NOD32 el 18/01/2004 a las 19:10:16 como Win32/Bagle.A Sophos el 19/01/2004 a las 03:08:01 como W32/Bagle-A TrendMicro el 19/01/2004 a las 03:25:55 como WORM_BAGLE.A McAfee el 19/01/2004 a las 06:48:04 como W32/Bagle@MM Norton el 19/01/2004 a las 07:24:13 como W32.Beagle.A@mm Panda el 19/01/2004 a las 09:29:10 como W32/Bagle.A.worm InoculateIT el 19/01/2004 a las 16:43:48 como Win32/Bagle.A.WormBernardo Quintero bernardo@hispasec.comMás información: I-Worm.Bagle http://www.viruslist.com/eng/viruslist.html?id=789296 Win32/Bagle.A http://www.nod32.com/msgs/baglea.htm W32/Bagle-A http://www.sophos.com/virusinfo/analyses/w32baglea.html WORM_BAGLE.A http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.A W32/Bagle@MM http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965 W32.Beagle.A@mm http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html Bagle.A http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=43789 Win32.Bagle.A http://www3.ca.com/virusinfo/virus.aspx?ID=38019
0 comentarios:
Publicar un comentario en la entrada