Nueva variante de Bagle

En la madrugada de hoy, 1 de septiembre, se ha detectado el envío
masivo, a modo de spam, de una nueva variante de Bagle. Aunque en unas
primeras horas se ha detectado una incidencia significativa, hay
diversos factores que apuntan a la progresiva y veloz desaparición
del mismo.

Reacciones antivirus

Las siguientes soluciones antivirus destacan por detectar a ésta
nueva variante bien por heurística o firma genérica:

McAfee :: W32/Bagle.dll.dr
Symantec :: Download.Ject.C
Norman :: W32/Malware
Panda :: Fichero sospechoso

Panda también ha distribuido una firma específica a las 10:33:51
del 01.09.2004 con la denominación “W32/Bagle.AV.worm”.

Norman y Panda eran capaces de detectarlo incluso meses antes de la
aparición del gusano, McAfee desde el 11.08.2004, y Symantec desde
el 29.08.2004. En cualquier caso todas estas soluciones detectaban
a la variante antes de su aparición, de forma que sus usuarios
estaban protegidos en el momento que comenzó su propagación.

El resto de antivirus se actualizaron con firmas específicas en
los siguientes tiempos (hora de España):

F-Prot 01.09.2004 00:34:31 :: W32/Newstuff.06
ClamWin 01.09.2004 00:59:47 :: Trojan.Dropper.Small-11
Kaspersky 01.09.2004 02:01:25 :: Exploit.CodeBaseExec
Nod32v2 01.09.2004 02:06:29 :: Exploit/CodeBaseExec
Sophos 01.09.2004 04:39:27 :: Troj/BagleDl-A
BitDefender 01.09.2004 08:54:22 :: Trojan.Dropper.Small.KV

Estos datos son obtenidos por VirusTotal (http://www.virustotal.com)
Agradecemos a los usuarios las muestras de este espécimen enviadas
a VirusTotal, que permitieron una detección temprana del mismo.

Descripción del espécimen

El sistema de propagación de esta nueva variante de Bagle es por si
mismo su propio talón de Aquiles. En primer lugar han distribuido de
forma masiva, con técnicas de spam (no se replicaba por si mismo), un
ZIP que contenía en su interior un archivo .HTML y un ejecutable .EXE.

El primer mensaje que llegó al laboratorio de Hispasec tenía las
siguientes características:

Remite: [falso]
Asunto: foto
Cuerpo: foto
Adjunto: fotos.zip

En el archivo fotos.zip, de aproximadamente 4,5KB, podíamos encontrar
un foto.htm de 111 bytes y un calc.exe de 12.800 bytes. Hemos recibido
otros mensajes con algunas diferencias en los textos y nombres de
archivo utilizados, aunque coinciden en utilizar un archivo ZIP
conteniendo tanto el HTML como el EXE.

El archivo HTML contiene un script que ejecuta el EXE, éste se copia
como doriot.exe en la carpeta de sistema de Windows, donde escribe
además un segundo ejecutable gdqfw.exe. Como suele ser habitual en
estos casos, añade también unas entradas en el registro de Windows
en las claves RUN para asegurarse su ejecución en cada inicio de
sistema.

El ejecutable instalado en el sistema no es un gusano (no se propaga
por si mismo), sino una especie de troyano que tiene como misión
finalizar la ejecución de varios procesos de antivirus que pudieran
estar activos en el sistema y desactivar el firewall de Windows, para
evitar así ser detectado, además de intentar descargar lo que podría
ser nuevos componentes del gusano teniendo como fuente 131 sitios
webs de Internet.

El talón de Aquiles viene por este sistema de descarga de componentes,
ya que en este momento no está disponible el archivo que intenta
descargar de los diferentes sitios webs, por lo que no se ha podido
llevar a cabo una hipotética segunda fase como gusano. Por
contra, prácticamente todos los antivirus ya lo detectan y es posible
la desinfección de los equipos que se hayan infectado.

Aun en el hipotético caso de que aparecieran en las próximas horas
nuevos componentes en alguna de las webs que chequea el troyano, es
de esperar una rápida reacción por parte de las casas antivirus ya
que poseen las URLs extraídas del código y pueden detectar de
inmediato su disponibilidad.