Propagación de nueva variante del gusano "Bagle"

En la tarde de ayer llegaron las primeras muestras a VirusTotal de una
nueva variante de Bagle que en sus primeras horas ha alcanzado unos
ratios de propagación notables. Se propaga por e-mail y redes P2P,
entre otras características destaca por incluir una puerta trasera que
permite a un atacante externo hacerse con el control de la máquina
infectada.

Reacciones antivirus

En esta ocasión sólo NOD32 destaca por ser capaz de detectar a esta
variante por heurística, de forma que sus usuarios estaban protegidos
en el momento que comenzó su propagación:

NOD32v2 probably unknow NewHeur_PE

El resto de antivirus se actualizaron con firmas específicas en los
siguientes tiempos (hora de España):

Kaspersky 28.09.2004 20:25 :: I-Worm.Bagle.as
ClamWin 28.09.2004 20:51 :: Worm.Bagle.AP
BitDefender 28.09.2004 21:42 :: Win32.Bagle.AU@mm
McAfee 28.09.2004 21:48 :: W32/Bagle.az@MM
NOD32v2 28.09.2004 22:19 :: Win32/Bagle.AQ
F-Prot 28.09.2004 22:24 :: W32/Bagle.AM.worm
Panda 28.09.2004 22:40 :: W32/Bagle.BB.worm
TrendMicro 28.09.2004 23:10 :: WORM_BAGLE.AM
Norton 29.09.2004 00:05 :: W32.Beagle.AR@mm
InoculateIR 29.09.2004 00:17 :: Win32/Bagle.18883.Worm
Sophos 29.09.2004 03:10 :: W32/Bagle-AZ
Norman 29.09.2004 10:25 :: Bagle.AO@mm

Nomenclatura

Destaca la cantidad de sufijos diferentes utilizados para nombrar a
esta variante según el motor antivirus: as, AP, AU, az, AQ, AM, BB,
AR, 18883 y AO. Sin duda, la homogeneización en la nomenclatura de
virus y demás malware está aun muy verde y necesita de un mayor
consenso entre las diferentes casas antivirus.

Desde el punto de vista técnico parece, a priori, relativamente fácil
establecer un mecanismo para lograr este objetivo. Por ejemplo,
podrían utilizarse nombres temporales durante las primeras horas y,
una vez realizada la puesta en común, asignarle el nombre genérico
acordado en la siguiente actualización de forma dinámica.

El problema que se intuye de fondo parece ser más de marketing que
puramente técnico o logístico.

Descripción del gusano

Cuando llega por e-mail, lo hace desde un mensaje con la dirección
de remite falseada, y uno de los siguientes asuntos:

Re:
Re: Hello
Re: Thank you!
Re: Thanks 🙂
Re: Hi

En el cuerpo del mensaje sólo incluye alguno de los siguientes
iconos a modo de sonrisa:

🙂
:))

El archivo adjunto infectado puede tener extensión .exe, .scr, .com o
.cpl, y uno de los siguientes nombres:

Price
price
Joke

En el caso de las redes P2P, el gusano se copia en todas las carpetas
cuyo nombre contenga la cadena “shar”, que coincide con algunos
directorios de archivos compartidos que utilizan por defecto las
aplicaciones P2P más comunes. Los nombres con que puede aparecer en
estas carpetas y, por tanto, en las redes P2P, son:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Cuando se ejecuta en un sistema, realiza una copia de si mismo en
la carpeta de sistema de Windows con los nombres de archivo
bawindo.exe, bawindo.exeopen y bawindo.exeopenopen.

Como suele ser habitual, también introduce la típica entrada en el
registro de Windows para asegurarse su ejecución en cada inicio de
sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“bawindo” = %System%”\bawindo.exe”

El componente backdoor o puerta trasera queda a la escucha en
el puerto TCP/81.

Otras acciones que lleva a cabo en el sistema son eliminar los
procesos en memoria correspondientes a utilidades antivirus y
similares que pudieran entorpecer su labor, según la siguiente
lista:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

Para enviarse a otros usuarios por e-mail, a través de su propio motor
SMTP, busca direcciones de correo en los archivos que localiza en el
sistema con alguna de las siguientes extensiones:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

El gusano también incluye un listado para evitar enviarse a las
direcciones de correo que contengan alguna de las siguientes cadenas:

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

Por último, el gusano intenta descargar el archivo WS.JPG desde
los siguientes sitios webs, pero hasta el momento en ninguno de
ellos está disponible:

www.24-7-transportation.com
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.aviation-center.de
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.DarrkSydebaby.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.dragcar.com
www.ecofotos.com.br
www.elenalazar.com
www.ellarouge.com.au
www.esperanzaparalafamilia.com
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.fepese.ufsc.br
www.firstnightoceancounty.org
www.flashcorp.com
www.fleigutaetscher.ch
www.fludir.is
www.freeservers.com
www.FritoPie.NET
www.gamp.pl
www.gci-bln.de
www.gcnet.ru
www.generationnow.net
www.gfn.org
www.giantrevenue.com
www.glass.la
www.handsforhealth.com
www.hartacorporation.com
www.himpsi.org
www.idb-group.net
www.immonaut.sk
www.ims-i.com
www.innnewport.com
www.irakli.org
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jhaforpresident.7p.com
www.jimvann.com
www.jldr.ca
www.justrepublicans.com
www.kencorbett.com
www.knicks.nl
www.kps4parents.com
www.kradtraining.de
www.kranenberg.de
www.lasermach.com
www.leonhendrix.com
www.magicbottle.com.tw
www.mass-i.kiev.ua
www.mepbisu.de
www.mepmh.de
www.metal.pl
www.mexis.com
www.mongolische-renner.de
www.mtfdesign.com
www.oboe-online.com
www.ohiolimo.com
www.onepositiveplace.org
www.oohlala-kirkland.com
www.orari.net
www.pankration.com
www.pe-sh.com
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.polizeimotorrad.de
www.programmierung2000.de
www.pyrlandia-boogie.pl
www.raecoinc.com
www.realgps.com
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.scanex-medical.fi
www.sea.bz.it
www.selu.edu
www.sigi.lu
www.sljinc.com
www.smacgreetings.com
www.soloconsulting.com
www.spadochron.pl
www.srg-neuburg.de
www.ssmifc.ca
www.sugardas.lt
www.sunassetholdings.com
www.szantomierz.art.pl
www.the-fabulous-lions.de
www.tivogoddess.com
www.tkd2xcell.com
www.topko.sk
www.transportation.gov.bh
www.travelchronic.de
www.traverse.com
www.uhcc.com
www.ulpiano.org
www.uslungiarue.it
www.vandermost.de
www.vbw.info
www.velezcourtesymanagement.com
www.velocityprint.com
www.vikingpc.pl
www.vinirforge.com
www.wecompete.com
www.worest.com.ar
www.woundedshepherds.com
www.wwwebad.com
www.wwwebmaster.com