Nuevo Bagle infecta equipos y amenaza con un JPG

La principal vía de infección es el correo electrónico, a través de mensajes con un asunto en apariencia tan inocente como “Re:”, “Re: Hello”, “Re: Hi”, “Re: Thank you!” o “Re: Thanks :)”. Como texto solo se muestra el emoticón de una cara sonriente. El remitente es siempre falso, y no identifica al usuario que realmente lo envía.

La infección se produce cuando el usuario abre el adjunto, el cuál puede llamarse “Price” o “Joke”, y tener cualquiera de estas extensiones: .COM, .CPL, .EXE o .SCR.

Una vez ejecutado, Bagle abre una puerta trasera que le permite a un intruso realizar diferentes tareas en forma remota, entre ellas usar los equipos infectados como plataforma para el envío de correo no deseado a otros usuarios.

El gusano también se copia en las carpetas de conocidas aplicaciones P2P, para infectar a los usuarios que lo descarguen de allí al compartir sus archivos. Para ello se disfraza con múltiples nombres.

El Bagle impide la ejecución de otros gusanos, además de finalizar la ejecución de conocidas aplicaciones de seguridad y hasta de herramientas del propio Windows, lo que puede dificultar la limpieza de un equipo infectado.

Una de las características de esta versión, es que intenta descargar desde una gran cantidad de sitios de Internet especificados en su código, un archivo con extensión .JPG.

Esto cobra especial preocupación estos días, debido a que todos los analistas en seguridad, aguardan la inminente aparición de un virus con ese formato, que se pueda aprovechar de una reciente vulnerabilidad que afecta a múltiples productos de Microsoft.

El fallo permite la ejecución de un archivo por la simple visualización de una imagen. Aunque la compañía ya publicó los parches respectivos, aún son muchos los usuarios que no se han actualizado.

La heurística avanzada de NOD32 detectó y neutralizó esta amenaza desde el primer momento, aún antes de que se le hubiera asignado un nombre.

> INFORMACION
Variante del Bagle detectada el 28 de setiembre de 2004. Se propaga mediante el envío masivo de correo electrónico y redes P2P. El componente troyano con puerta trasera es utilizado para el envío masivo de mensajes.

> CARACTERISTICAS
Existe una posible infección cuando:

Están presentes los siguientes archivos en el sistema:

C:WindowsSystemawindo.exe.
C:WindowsSystemawindo.exeopen
C:WindowsSystemawindo.exeopenopen
C:WindowsSystem
e_file.exe

De acuerdo a la versión del sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

Puede llegar en un mensaje con las siguientes características:

De: [una dirección falsa]

Asunto: [uno de los siguientes]

Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks 🙂

Texto del mensaje: [uno de los siguientes]

:))
🙂

Datos adjuntos: [nombre]+[extensión]

Price
price
Joke

Y [extensión] es alguna de las siguientes:

.com
.cpl
.exe
.scr

Se envía todas las direcciones que obtenga de los siguientes archivos:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Evita enviarse a direcciones que contengan las siguientes cadenas:

@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

Al ejecutarse, crea los siguientes archivos en el sistema infectado:

C:WindowsSystemawindo.exe.
C:WindowsSystemawindo.exeopen
C:WindowsSystemawindo.exeopenopen
C:WindowsSystem
e_file.exe

De acuerdo a la versión de sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

Modifica o crea las siguientes entradas en el registro:

HKCUSOFTWAREMicrosoftWindows
CurrentVersionRun
bawindo = c:windowssystemawindo.exe.

Borra en las siguientes claves del registro cualquier entrada que contenga alguna de las siguientes cadenas:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service

HKCUSOFTWAREMicrosoftWindows
CurrentVersionRun
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service

Abre una puerta trasera en el equipo infectado, utiliza los puertos TCP 81 y UDP 81 para utilizar el equipo como un repetidor de correo electronico.

Puede propagarse por redes P2P, para ello se copia con los siguientes nombres en todas las carpetas que incluyan la palabra “SHAR” en su nombre:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Crea los siguientes mutex para no ejecutarse mas de una vez en memoria:

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
“D”r”o”p”p”e”d”S”k”y”N”e”t”
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____—>>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

Intenta descargar desde los siguientes sitios un archivo llamado “WS.JPG”:

www.24-7-transportation.com
www.DarrkSydebaby.com
www.FritoPie.NET
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.aviation-center.de
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.dragcar.com
www.ecofotos.com.br
www.elenalazar.com
www.ellarouge.com.au
www.esperanzaparalafamilia.com
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.fepese.ufsc.br
www.firstnightoceancounty.org
www.flashcorp.com
www.fleigutaetscher.ch
www.fludir.is
www.freeservers.com
www.gamp.pl
www.gci-bln.de
www.gcnet.ru
www.generationnow.net
www.gfn.org
www.giantrevenue.com
www.glass.la
www.handsforhealth.com
www.hartacorporation.com
www.himpsi.org
www.idb-group.net
www.immonaut.sk
www.ims-i.com
www.innnewport.com
www.irakli.org
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jhaforpresident.7p.com
www.jimvann.com
www.jldr.ca
www.justrepublicans.com
www.kencorbett.com
www.knicks.nl
www.kps4parents.com
www.kradtraining.de
www.kranenberg.de
www.lasermach.com
www.leonhendrix.com
www.magicbottle.com.tw
www.mass-i.kiev.ua
www.mepbisu.de
www.mepmh.de
www.metal.pl
www.mexis.com
www.mongolische-renner.de
www.mtfdesign.com
www.oboe-online.com
www.ohiolimo.com
www.onepositiveplace.org
www.oohlala-kirkland.com
www.orari.net
www.pankration.com
www.pe-sh.com
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.polizeimotorrad.de
www.programmierung2000.de
www.pyrlandia-boogie.pl
www.raecoinc.com
www.realgps.com
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.scanex-medical.fi
www.sea.bz.it
www.selu.edu
www.sigi.lu
www.sljinc.com
www.smacgreetings.com
www.soloconsulting.com
www.spadochron.pl
www.srg-neuburg.de
www.ssmifc.ca
www.sugardas.lt
www.sunassetholdings.com
www.szantomierz.art.pl
www.the-fabulous-lions.de
www.tivogoddess.com
www.tkd2xcell.com
www.topko.sk
www.transportation.gov.bh
www.travelchronic.de
www.traverse.com
www.uhcc.com
www.ulpiano.org
www.uslungiarue.it
www.vandermost.de
www.vbw.info
www.velezcourtesymanagement.com
www.velocityprint.com
www.vikingpc.pl
www.vinirforge.com
www.wecompete.com
www.worest.com.ar
www.woundedshepherds.com
www.wwwebad.com
www.wwwebmaster.com

El gusano puede finalizar la ejecución de los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos, así como a utilidades del propio Windows (el editor del registro, etc.):

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
Downloading
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

> INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleAQ

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Elimine bajo la columna “Nombre”, la entrada “bawindo”, en la siguiente clave del registro:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

5. Cierre el editor del Registro del sistema.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Fuente: Enciclopediavirus.com