Nueva variante del gusano Bagle se distribuye junto a fotografías

Detectada en las últimas horas una importante propagación de la nueva
variante del gusano Bagle.

Entre otras formas de envío, puede simular ser un mensaje de una mujer,

contando con diferentes fotografías que incluye en los e-mails para

dotarlos de mayor realismo. Además de autoenviarse desde los sistemas

infectados por e-mail e intentar propagarse por las redes de intercambio

P2P, el gusano incluye una puerta trasera que permite a un atacante

acceder de forma remota a los ordenadores afectados.

Desde su

detección existe cierta confusión en su denominación, ya que según la

casa antivirus puede aparecer con el sufijo W, X, Y, Z o AA:

eTrustAV -> Win32/Bagle.W.Worm

Kaspersky -> I-Worm.Bagle.y

McAfee

-> W32/Bagle.z@MM

NOD32 -> Win32/Bagle.X

Norman -> Bagle.AA@mm

Panda -> W32/Bagle.AA.worm

Sophos -> W32/Bagle-W

Sybari ->

I-Worm.Bagle.Y

Symantec -> W32.Beagle.W@mm

TrendMicro ->

WORM_BAGLE.X

Por si los diferentes sufijos no fueran suficiente,

hay que añadir además que esta variante de Bagle se puede presentar de

diversas formas, como por ejemplo un dropper en un archivo .VBS, o en un

.ZIP protegido con contraseña, lo que a su vez origina nuevas

denominaciones como “Win32/Bagle.X.dropper” o “W32/Bagle.z!vbs”, entre

otras.

A modo de resumen, esta nueva versión de Bagle se propaga

a través del correo electrónico con diferentes textos y tipos de

archivo, además se copia en las carpetas del sistema que contengan la

cadena “shar” en su nombre, que coincide con los directorios de archivos

compartidos de varias aplicaciones P2P como KaZaa, Bearshare o Limewire.

En su faceta como troyano, el gusano instala una puerta trasera en el puerto

TCP 2535 para permitir la entrada al ordenador de forma remota.

Desinfección manual

En caso de infección, es posible desinfectar el sistema con unos

sencillos pasos:

-Reiniciar el sistema en Modo Seguro (pulsando

la tecla F8 antes de que comience la carga de Windows).

-Borrar del

directorio sistema de Windows (por defecto c:Windowssystem o

c:Winntsystem32) los siguientes archivos:

drvsys.exe

drvsys.exeopen

drvsys.exeopenopen

-Borrar la entrada “drvsys.exe”

en la siguiente clave del registro de Windows (con la utilidad

regedit.exe):

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Así nos llega por e-mail

El mensaje, en el que se propaga a través del correo electrónico, tiene

las siguientes características:

Remitente (puede ser uno de los

siguientes):

lizie@[dominio]

annie@[dominio]

ann@[dominio]

christina@[dominio]

secretGurl@[dominio]

jessie@[dominio]

christy@[dominio]

Asunto (puede ser uno de los siguientes):

Hello!

Hey!

Let’s socialize, my friend!

Let’s talk, my friend!

I’m

bored with this life

Notify from a known person 😉

I like you

I just need a friend

I’m a sad girl…

Re: Msg reply

Re: Hello

Re: Yahoo!

Re: Thank you!

Re: Thanks 🙂

RE: Text message

Re:

Document

Incoming message

Re: Incoming Message

Re: Incoming Fax

Hidden message

Fax Message Received

Protected message

RE: Protected

message

Forum notify

Request response

Site changes

Re: Hi

Encrypted document

Hello [nombre],

Dear [nombre],

Dear

[nombre], It’s me 😉

Hi [nombre],

Hey [nombre], It’s me ->

I

Like You!

Don’t you remember me?

Kewl 🙂

I need a friend…

I just want to talk with someone…

I like reading the books and

socializing, let me talk with you…

It’s time to find a friend!

Dear [nombre], It’s me 😉

Hi [nombre],

Hi![nombre], It’s me

[nombre],

Hey [nombre],

Hey![nombre],

Hello!–[nombre]–,

Hi!–[nombre]–,

cuerpo:

Está compuesto por varias

secciones en las que puede seleccionar diferentes textos, si bien los

omitimos por espacio, ya que listar todas las opciones sería muy extenso

y no se considera información estrictamente necesaria. Como muestra un

ejemplo de los diferentes cuerpos que puede componer el gusano:

Hey [nombre destinatario],

It’s me -> [fotografía JPG de una mujer]

Searching for the right person,for real man, who will really cares and love me.

For details see the attach.

Cheers, Christy

Adjunto:

Formado

por alguno de los siguientes nombres:

Information

Details

Readme

ocument

Info

Details

MoreInfo

Message

Con

alguna de las siguientes extensiones:

.hta

.vbs

.exe

.scr

.com

.cpl

.zip (protegido con contraseña)

El archivo comprimido

con contraseña puede contener en su interior, además del ejecutable del

gusano con un nombre al azar, otros archivos con extensión .txt, .doc,

.vxd, .bat o .dll, en un intento de modificar el tamaño y aspecto del

.ZIP para dificultar la labor de detección por parte de los antivirus.

La contraseña, que permite al usuario descomprimir el archivo .ZIP protegido,

se encuentra en el cuerpo del mensaje infectado.

Infección y propagación

Si un usuario ejecuta el archivo infectado, aparecerá una ventana con el

siguiente texto: “Can’t find a viewer associated with the file.”

A continuación el gusano se copia con los nombres drvsys.exe,

drvsys.exeopen y drvsys.exeopenopen en la carpeta de sistema de Windows.

Además incluye una entrada en el registro de Windows, descrita

anteriormente en el apartado de desinfección manual, para asegurarse la

ejecución del gusano en cada inicio de sistema.

El gusano

contiene una larga lista de nombres (omitida por su extensión)

correspondientes a procesos de antivirus, firewalls personales, y otras

soluciones de seguridad, que podrían poner trabas a su misión. Si

encuentra alguno de estos procesos en memoria procede a finalizarlos.

Para propagarse por e-mail, el gusano recolecta las direcciones de correo

electrónico que encuentra en los archivos del sistema infectado con

extensión .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht

.mmf .msg .nch .ods .oft .php .pl .sht .stm .tbb .shtm .txt .uin .wab

.wsh .xls .xml

A la hora de enviarse, evita hacerlo a direcciones

que contengan algunas de las siguientes cadenas: @hotmail @msn

@microsoft rating@ f-secur news update anyone@ bugs@ contract@ feste

gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft support ntivi

unix bsd linux listserv certific sopho @foo @iana free-av @messagelab

winzip google winrar samples abuse panda cafee spam pgp @avp. noreply

local root@ postmaster@

En un intento de propagarse a través de

las redes P2P, el gusanose copia en las carpetas que contengan la cadena

“shar” con los siguientes nombres de archivos:

Microsoft Office

2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working

Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno,

sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics

arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9

full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

De forma que estos ejecutables, que simulan diversos programas y utilidades, y

que en realidad contienen el código del gusano, pasarán a ser

compartidos en las redes P2P y podrán ser descargados por otros usuarios

que se infectarán si los llegan a ejecutar.

Como ya comentamos,

el gusano instala una puerta trasera en los sistemas infectados a través

del puerto TCP 2535. En lo que parece un intento de notificar al creador

del gusano las direcciones de los sistemas infectados, el gusano llama a

un script PHP en diferentes sitios webs.