Bagle.C, la nueva variante del gusano comienza su propagación

Así llega Bagle.C

A última hora del viernes 27 hemos podido detectar en Hispasec la

propagación por e-mail de la que sería la tercera variante del gusano

Bagle, que nos ha llegado en un correo electrónico como archivo adjunto

.ZIP de unos 16KB.

Bagle.C, que ha sido programado para que cese

su propagación después del día 14 de marzo de 2004, abre en los sistemas

infectados una puerta trasera en el puerto TCP 2475 que podría permitir

a un atacante controlar el equipo de forma remota.

Aunque aún es

pronto para conocer indicadores de propagación e infección, algunas

casas antivirus ya lo sitúan como alerta de nivel medio por su potencial

y/o basándose en los ratios conseguidos por sus predecesores.

En una próxima entrega podremos ofrecer la tabla completa de los tiempos de

reacción de las diferentes casas antivirus en proporcionar la

actualización para Bagle.C a sus clientes, según el sistema de

monitorización 24hx7d del laboratorio de Hispasec.

La infección del sistema

El e-mail en el que Bagle.C se adjunta nos llega con la dirección de

remite falseada, con el cuerpo del mensaje vacío, sin ningún texto, y el

asunto en inglés puede ser uno de los siguientes:

Accounts

department

Ahtung!

Camila

Daily activity report

Flayers among us

Freedom for everyone

From Hair-cutter

From me

Greet the day

Hardware devices price-list

Hello my friend

Hi!

Jenny

Jessica

Looking

for the report

Maria

Melissa

Monthly incomings

summary

New Price-list

Price

Price list

Pricelist

Price-list

Proclivity to servitude

Registration confirmation

The account

The employee

The summary

USA government abolishes the capital punishment

Weekly activity report

Well…

You are dismissed

You

really love me? he he

El archivo adjunto, donde viaja Bable.C,

tiene un nombre variable formado con caracteres al azar y extensión

.ZIP, y su tamaño es de unos 16KB. En su interior se encuentra un

ejecutable .EXE comprimido con UPX de 15.872 bytes, que si lo

visualizamos desde el explorador de Windows aparecerá con el icono de

las hojas de cálculo Excel, en un intento más de engañar al usuario.

Propagación

Cuando se ejecuta el gusano, en primer lugar abre el bloc de notas de

Windows con una hoja en blanco, si bien de forma oculta al usuario

comienza la infección del sistema, copiando en el directorio de sistema

de Windows (por ejemplo WINNTSYSTEM) los siguientes archivos:

readme.exe

onde.exe

doc.exe

readme.exeopen

A

continuación introduce la siguiente entrada en el registro de

Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun

gouday.exe = %System%readme.exe

Adicionalmente añade

las siguientes entradas, que incluye el puerto donde abre la puerta

trasera y un identificador del sistema infectado:

HKEY_CURRENT_USERSoftwareDateTime2 frun

HKEY_CURRENT_USERSoftwareDateTime2 uid

HKEY_CURRENT_USERSoftwareDateTime2 port

Evitando ser detectado

Bagle.C incorpora su propio motor SMTP para enviarse a otros sistemas,

y recopila las direcciones de correo electrónico del ordenador

infectado buscando en los archivos con extensión .ADB, .ASP, .CFG,

.DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT,

.TXT,

.WAB.

El gusano evita enviarse a las direcciones que contenga

algunas de las siguientes cadenas:

.ch

@avp.

@hotmail.com

@microsoft

@msn.com

local

noreply

postmaster@

root@

Puerta trasera

Bagle.C intenta evitar ser detectado, desactivando varios programas de

seguridad, como antivirus, firewalls o sistemas de actualización. Para

ello intenta finalizar los siguientes procesos si se encuentran en la

memoria del sistema infectado:

NUPGRADE.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVLTMAIN.EXE

MCUPDATE.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

AUTODOWN.EXE

ICSUPP95.EXE

LUALL.EXE

OUTPOST.EXE

UPDATE.EXE

Con fecha de caducidad en su rutina de propagación

Bagle.C abre en los sistemas infectados una puerta trasera en el puerto

TCP 2745, que permitiría a un atacante externo subir y ejecutar

programas, de forma que puede controlar el sistema de forma remota.

Parece ser que el creador del gusano ha intentado utilizar un sistema de

notificación para conocer las direcciones IPs de los sistemas infectados

y así intentar utilizar esta puerta trasera. Se basa en que el gusano

realiza peticiones GET a las siguientes direcciones:

http://permail.uni-muenster.de/scr.php

http://www.songtext.net/de/scr.php

http://www.sportscheck.de/scr.php

Como parámetros pasa el puerto

TCP abierto, el número uid que almacena en una de las entradas del

registro, y también quedaría registrado en esos scripts la dirección IP

desde la cual se realiza la petición, datos más que suficientes para que

el creador del gusano intente utilizar la puerta trasera para todo tipo

de fines.

Prevención

Bagle.C ha sido programado para que cese su rutina de propagación a

partir del 14 de marzo, si bien la puerta trasera de los sistemas

infectados seguirá abierta mientras que no se elimine el gusano de los

equipos infectados.

Recordemos que su anterior variante, Bagle.B,

dejó de propagarse el 25 de febrero, y apenas dos días después ha dado

comienzo la distribución de Bagle.C.

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos

potencialmente peligrosos, sobre todo si no hemos demandado su envío.

Adicionalmente, contar con soluciones antivirus correctamente instaladas

y puntualmente actualizadas. También resulta útil seguir los foros de

seguridad o listas como una-al-día, para estar al

tanto de las últimas amenazas que nos pueden afectar.