• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Nueva variante de Bagle

Nueva variante de Bagle

1 septiembre, 2004 Por Hispasec Deja un comentario

En la madrugada de hoy, 1 de septiembre, se ha detectado el envío
masivo, a modo de spam, de una nueva variante de Bagle. Aunque en unas
primeras horas se ha detectado una incidencia significativa, hay
diversos factores que apuntan a la progresiva y veloz desaparición
del mismo.

Reacciones antivirus

Las siguientes soluciones antivirus destacan por detectar a ésta
nueva variante bien por heurística o firma genérica:

McAfee :: W32/Bagle.dll.dr
Symantec :: Download.Ject.C
Norman :: W32/Malware
Panda :: Fichero sospechoso

Panda también ha distribuido una firma específica a las 10:33:51
del 01.09.2004 con la denominación «W32/Bagle.AV.worm».

Norman y Panda eran capaces de detectarlo incluso meses antes de la
aparición del gusano, McAfee desde el 11.08.2004, y Symantec desde
el 29.08.2004. En cualquier caso todas estas soluciones detectaban
a la variante antes de su aparición, de forma que sus usuarios
estaban protegidos en el momento que comenzó su propagación.

El resto de antivirus se actualizaron con firmas específicas en
los siguientes tiempos (hora de España):

F-Prot 01.09.2004 00:34:31 :: W32/Newstuff.06
ClamWin 01.09.2004 00:59:47 :: Trojan.Dropper.Small-11
Kaspersky 01.09.2004 02:01:25 :: Exploit.CodeBaseExec
Nod32v2 01.09.2004 02:06:29 :: Exploit/CodeBaseExec
Sophos 01.09.2004 04:39:27 :: Troj/BagleDl-A
BitDefender 01.09.2004 08:54:22 :: Trojan.Dropper.Small.KV

Estos datos son obtenidos por VirusTotal (http://www.virustotal.com)
Agradecemos a los usuarios las muestras de este espécimen enviadas
a VirusTotal, que permitieron una detección temprana del mismo.

Descripción del espécimen

El sistema de propagación de esta nueva variante de Bagle es por si
mismo su propio talón de Aquiles. En primer lugar han distribuido de
forma masiva, con técnicas de spam (no se replicaba por si mismo), un
ZIP que contenía en su interior un archivo .HTML y un ejecutable .EXE.

El primer mensaje que llegó al laboratorio de Hispasec tenía las
siguientes características:

Remite: [falso]
Asunto: foto
Cuerpo: foto
Adjunto: fotos.zip

En el archivo fotos.zip, de aproximadamente 4,5KB, podíamos encontrar
un foto.htm de 111 bytes y un calc.exe de 12.800 bytes. Hemos recibido
otros mensajes con algunas diferencias en los textos y nombres de
archivo utilizados, aunque coinciden en utilizar un archivo ZIP
conteniendo tanto el HTML como el EXE.

El archivo HTML contiene un script que ejecuta el EXE, éste se copia
como doriot.exe en la carpeta de sistema de Windows, donde escribe
además un segundo ejecutable gdqfw.exe. Como suele ser habitual en
estos casos, añade también unas entradas en el registro de Windows
en las claves RUN para asegurarse su ejecución en cada inicio de
sistema.

El ejecutable instalado en el sistema no es un gusano (no se propaga
por si mismo), sino una especie de troyano que tiene como misión
finalizar la ejecución de varios procesos de antivirus que pudieran
estar activos en el sistema y desactivar el firewall de Windows, para
evitar así ser detectado, además de intentar descargar lo que podría
ser nuevos componentes del gusano teniendo como fuente 131 sitios
webs de Internet.

El talón de Aquiles viene por este sistema de descarga de componentes,
ya que en este momento no está disponible el archivo que intenta
descargar de los diferentes sitios webs, por lo que no se ha podido
llevar a cabo una hipotética segunda fase como gusano. Por
contra, prácticamente todos los antivirus ya lo detectan y es posible
la desinfección de los equipos que se hayan infectado.

Aun en el hipotético caso de que aparecieran en las próximas horas
nuevos componentes en alguna de las webs que chequea el troyano, es
de esperar una rápida reacción por parte de las casas antivirus ya
que poseen las URLs extraídas del código y pueden detectar de
inmediato su disponibilidad.

Bernardo Quintero
bernardo@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR