Bagle.b, nuevo gusano de propagación masiva

Llega adjunto en el correo electrónico en un archivo con nombre
aleatorio y extensión .EXE.

Algunos textos fijos en el asunto y el cuerpo del mensaje permiten

identificarlo de forma fácil a simple vista. El gusano incluye una

puerta trasera que se abre en los sistemas infectados en el puerto

TCP/8866. El creador del gusano lo ha programado para que deje

ejecutarse después del 25 de febrero.

El asunto del mensaje

donde viaja Bagle.B comienza por ID, seguido de unos caracteres

aleatorios, y finaliza con … thanks. El cuerpo del mensaje comienza

por Yours ID, seguido de una cadena aleatoria, y finaliza con Thank.

A continuación reproducimos el aspecto deun mensaje infectado:

De: [dirección de e-mail falseada]

Para: dirección e-mail del

destinatario

Asunto: ID mdjpvgkgqik… thanks

Cuerpo:

Yours ID

lmxlirpbr

– —

Thank

Adjunto: pwxyicp.exe

El

ejecutable, comprimido con UPX, tiene un tamaño de unos 11Kbs

(11.264bytes). Si el usuario abre el archivo, el gusano ejecuta la

Grabadora de sonidos de Windows (sndrec32.exe) en un intento de engañar

al usuario, mientras que de forma oculta comienza su rutina de infección

del sistema y propagación.

En primer lugar realiza una copia

del ejecutable infectado en el directorio de sistema de Windows con el

nombre de archivo au.exe, e introduce la siguiente entrada en el

registro de Windows para asegurarse su ejecución cada vez que el usuario

inicie el sistema:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunau.exe

= %system%au.exe

Adicionalmente el gusano crea esta

otra entrada en el registro:

HKEY_CURRENT_USERSOFTWAREWindows2000

Para propagarse el gusano

busca direcciones de correo en el sistema infectado, recolectando los

e-mails que encuentra en los archivos con extensión .WAB, .TXT, .HTM y

.HTML. Utilizando su propio motor SMTP, se autoenvía a las diferentes

direcciones recolectadas, con la excepción de aquellas cuyo dominio sea

@hotmail.com, @msn.com, @microsoft o @avp. El gusano falsifica el e-mail

de remite, de forma que no corresponderá al usuario realmente infectado

desde cuyo sistema se está enviando el gusano.

De forma

periódica intenta conectar con los siguientes sitios webs, incluyendo en

la petición el puerto abierto en el sistema infectado e ID, en lo que

parece ser un sistema de notificación ideado por el creador del virus

para tener controlados los sistemas infectados:

www.strato.de/1.php

www.strato.de/2.php

www.47df.de/wbboard/1.php

www.intern.games-ring.de/2.php

Por defecto el gusano abre una puerta

trasera en el puerto TCP/8866, utilizando otro puerto en el caso de que

éste no estuviera disponible. A través de él, un atacante con acceso a

dicho puerto, podría ejecutar comandos, descargar y ejecutar

aplicaciones, todo de forma remota.

Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos

potencialmente peligrosos, sobre todo si no hemos demandado su envío.

Adicionalmente, contar con soluciones antivirus correctamente instaladas

y puntualmente actualizadas. También resulta útil seguir los foros de

seguridad o listas como una-al-día, para estar al tanto de las últimas

amenazas que nos pueden afectar.

La reacción de las diferentes

soluciones antivirus, en ofrecer la actualización pertinente a sus

usuarios para detectar el nuevo gusano, ha sido la siguiente:

Sophos 17/02/2004 14:06:46 :: W32/Tanx-A

Panda 17/02/2004 14:23:37 ::

W32/Yourid.A.worm

NOD32 17/02/2004 14:54:52 :: Win32/Bagle.B

Kaspersky 17/02/2004 14:55:02 :: I-Worm.Bagle.b

TrendMicro 17/02/2004

17:33:58 :: WORM_BAGLE.B

McAfee 17/02/2004 17:53:08 :: W32/Bagle.b@MM

Estos datos pertenecen a las soluciones antivirus monitorizadas 24hx7d por el

laboratorio de Hispasec. Donde las horas mencionadas son hora española

(GMT+1). Comentarios adicionales:

Panda, que reconoció la muestra

infectada a las 14:23:37 como W32/Yourid.A.worm, lo detecta como

W32/Bagle.B.worm a partir de la actualización registrada a las

17:15:53.

NOD32, que incluyó la firma específica a las 14:54:52

reconociéndolo como Win32/Bagle.B, nos informa de que su motor

residente, que incluye la función de heurística avanzada, ya reconocía

este espécimen sin necesidad de la firma