martes, 17 de febrero de 2004

"Bagle.b", nuevo gusano de propagación masiva

Llega adjunto en el correo electrónico en un archivo con nombre
aleatorio y extensión .EXE. Algunos textos fijos en el asunto y el
cuerpo del mensaje permiten identificarlo de forma fácil a simple
vista. El gusano incluye una puerta trasera que se abre en los
sistemas infectados en el puerto TCP/8866. El creador del gusano
lo ha programado para que deje ejecutarse después del 25 de
febrero.

El asunto del mensaje donde viaja Bagle.B comienza por "ID", seguido
de unos caracteres aleatorios, y finaliza con "... thanks". El cuerpo
del mensaje comienza por "Yours ID", seguido de una cadena aleatoria,
y finaliza con "Thank". A continuación reproducimos el aspecto de
un mensaje infectado:



De: [dirección de e-mail falseada]
Para: dirección e-mail del destinatario

Asunto: ID mdjpvgkgqik... thanks

Cuerpo:

Yours ID lmxlirpbr
---
Thank

Adjunto: pwxyicp.exe



El ejecutable, comprimido con UPX, tiene un tamaño de unos 11Kbs
(11.264bytes). Si el usuario abre el archivo, el gusano ejecuta la
Grabadora de sonidos de Windows (sndrec32.exe) en un intento de
engañar al usuario, mientras que de forma oculta comienza su rutina
de infección del sistema y propagación.

En primer lugar realiza una copia del ejecutable infectado en el
directorio de sistema de Windows con el nombre de archivo "au.exe",
e introduce la siguiente entrada en el registro de Windows para
asegurarse su ejecución cada vez que el usuario inicie el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"au.exe" = "%system%\au.exe"

Adicionalmente el gusano crea esta otra entrada en el registro:
HKEY_CURRENT_USER\SOFTWARE\Windows2000

Para propagarse el gusano busca direcciones de correo en el sistema
infectado, recolectando los e-mails que encuentra en los archivos
con extensión .WAB, .TXT, .HTM y .HTML. Utilizando su propio motor
SMTP, se autoenvía a las diferentes direcciones recolectadas, con
la excepción de aquellas cuyo dominio sea @hotmail.com, @msn.com,
@microsoft o @avp. El gusano falsifica el e-mail de remite, de
forma que no corresponderá al usuario realmente infectado desde
cuyo sistema se está enviando el gusano.

De forma periódica intenta conectar con los siguientes sitios
webs, incluyendo en la petición el puerto abierto en el sistema
infectado e ID, en lo que parece ser un sistema de notificación
ideado por el creador del virus para tener controlados los
sistemas infectados:

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php


Por defecto el gusano abre una puerta trasera en el puerto TCP/8866,
utilizando otro puerto en el caso de que éste no estuviera
disponible. A través de él, un atacante con acceso a dicho puerto,
podría ejecutar comandos, descargar y ejecutar aplicaciones, todo
de forma remota.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.

La reacción de las diferentes soluciones antivirus, en ofrecer la
actualización pertinente a sus usuarios para detectar el nuevo
gusano, ha sido la siguiente:

Sophos 17/02/2004 14:06:46 :: W32/Tanx-A
Panda 17/02/2004 14:23:37 :: W32/Yourid.A.worm
NOD32 17/02/2004 14:54:52 :: Win32/Bagle.B
Kaspersky 17/02/2004 14:55:02 :: I-Worm.Bagle.b
TrendMicro 17/02/2004 17:33:58 :: WORM_BAGLE.B
McAfee 17/02/2004 17:53:08 :: W32/Bagle.b@MM

Estos datos pertenecen a las soluciones antivirus monitorizadas
24hx7d por el laboratorio de Hispasec. Donde las horas mencionadas
son hora española (GMT+1). Comentarios adicionales:

Panda, que reconoció la muestra infectada a las 14:23:37 como
"W32/Yourid.A.worm", lo detecta como "W32/Bagle.B.worm" a partir de
la actualización registrada a las 17:15:53.

NOD32, que incluyó la firma específica a las 14:54:52 reconociéndolo
como "Win32/Bagle.B", nos informa de que su motor residente, que
incluye la función de heurística avanzada, ya reconocía este
espécimen sin necesidad de la firma.


Bernardo Quintero
bernardo@hispasec.com


Más información:

W32/Bagle.b@mm
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Bagle.b@mm

Win32.Bagle.B
http://www3.ca.com/virusinfo/virus.aspx?ID=38323

I-Worm.Bagle.b
http://www.viruslist.com/eng/alert.html?id=983343

W32/Bagle.b@MM
http://vil.nai.com/vil/content/v_101030.htm

Win32/Bagle.B
http://www.nod32.com/msgs/bagleb.htm

W32/Bagle.B@mm
http://www.norman.com/virus_info/w32_bagle_b_mm.shtml

Bagle.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=44777

W32.Alua@mm
http://www.sarc.com/avcenter/venc/data/w32.alua@mm.html

WORM_BAGLE.B
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.B

No hay comentarios:

Publicar un comentario