Bagle.C, la nueva variante del gusano comienza su propagación
Aunque todavía es pronto, algunas casas antivirus ya lo sitúan como
alerta de nivel medio por su potencial y/o basándose en los ratios
conseguidos por sus predecesores.
Así llega Bagle.C
A última hora del viernes 27 hemos podido detectar en Hispasec la
propagación por e-mail de la que sería la tercera variante del gusano
Bagle, que nos ha llegado en un correo electrónico como archivo adjunto
.ZIP de unos 16KB.
Bagle.C, que ha sido programado para que cese
su propagación después del día 14 de marzo de 2004, abre en los sistemas
infectados una puerta trasera en el puerto TCP 2475 que podría permitir
a un atacante controlar el equipo de forma remota.
Aunque aún es
pronto para conocer indicadores de propagación e infección, algunas
casas antivirus ya lo sitúan como alerta de nivel medio por su potencial
y/o basándose en los ratios conseguidos por sus predecesores.
En una próxima entrega podremos ofrecer la tabla completa de los tiempos de
reacción de las diferentes casas antivirus en proporcionar la
actualización para Bagle.C a sus clientes, según el sistema de
monitorización 24hx7d del laboratorio de Hispasec.
La infección del sistema
El e-mail en el que Bagle.C se adjunta nos llega con la dirección de
remite falseada, con el cuerpo del mensaje vacío, sin ningún texto, y el
asunto en inglés puede ser uno de los siguientes:
Accounts
department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking
for the report
Maria
Melissa
Monthly incomings
summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well…
You are dismissed
You
really love me? he he
El archivo adjunto, donde viaja Bable.C,
tiene un nombre variable formado con caracteres al azar y extensión
.ZIP, y su tamaño es de unos 16KB. En su interior se encuentra un
ejecutable .EXE comprimido con UPX de 15.872 bytes, que si lo
visualizamos desde el explorador de Windows aparecerá con el icono de
las hojas de cálculo Excel, en un intento más de engañar al usuario.
Propagación
Cuando se ejecuta el gusano, en primer lugar abre el bloc de notas de
Windows con una hoja en blanco, si bien de forma oculta al usuario
comienza la infección del sistema, copiando en el directorio de sistema
de Windows (por ejemplo WINNTSYSTEM) los siguientes archivos:
readme.exe
onde.exe
doc.exe
readme.exeopen
A
continuación introduce la siguiente entrada en el registro de
Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun
gouday.exe = %System%readme.exe
Adicionalmente añade
las siguientes entradas, que incluye el puerto donde abre la puerta
trasera y un identificador del sistema infectado:
HKEY_CURRENT_USERSoftwareDateTime2 frun
HKEY_CURRENT_USERSoftwareDateTime2 uid
HKEY_CURRENT_USERSoftwareDateTime2 port
Evitando ser detectado
Bagle.C incorpora su propio motor SMTP para enviarse a otros sistemas,
y recopila las direcciones de correo electrónico del ordenador
infectado buscando en los archivos con extensión .ADB, .ASP, .CFG,
.DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT,
.TXT,
.WAB.
El gusano evita enviarse a las direcciones que contenga
algunas de las siguientes cadenas:
.ch
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@
Puerta trasera
Bagle.C intenta evitar ser detectado, desactivando varios programas de
seguridad, como antivirus, firewalls o sistemas de actualización. Para
ello intenta finalizar los siguientes procesos si se encuentran en la
memoria del sistema infectado:
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
MCUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
AUTODOWN.EXE
ICSUPP95.EXE
LUALL.EXE
OUTPOST.EXE
UPDATE.EXE
Con fecha de caducidad en su rutina de propagación
Bagle.C abre en los sistemas infectados una puerta trasera en el puerto
TCP 2745, que permitiría a un atacante externo subir y ejecutar
programas, de forma que puede controlar el sistema de forma remota.
Parece ser que el creador del gusano ha intentado utilizar un sistema de
notificación para conocer las direcciones IPs de los sistemas infectados
y así intentar utilizar esta puerta trasera. Se basa en que el gusano
realiza peticiones GET a las siguientes direcciones:
http://permail.uni-muenster.de/scr.php
http://www.songtext.net/de/scr.php
http://www.sportscheck.de/scr.php
Como parámetros pasa el puerto
TCP abierto, el número uid que almacena en una de las entradas del
registro, y también quedaría registrado en esos scripts la dirección IP
desde la cual se realiza la petición, datos más que suficientes para que
el creador del gusano intente utilizar la puerta trasera para todo tipo
de fines.
Prevención
Bagle.C ha sido programado para que cese su rutina de propagación a
partir del 14 de marzo, si bien la puerta trasera de los sistemas
infectados seguirá abierta mientras que no se elimine el gusano de los
equipos infectados.
Recordemos que su anterior variante, Bagle.B,
dejó de propagarse el 25 de febrero, y apenas dos días después ha dado
comienzo la distribución de Bagle.C.
Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente instaladas
y puntualmente actualizadas. También resulta útil seguir los foros de
seguridad o listas como una-al-día, para estar al
tanto de las últimas amenazas que nos pueden afectar.