Variante de Bagle y tiempos de reacción antivirus

Tiempos de reacción

En esta ocasión algunos antivirus ganaron la batalla, ya que detectaban a la muestra antes de que comenzara su expansión.

Como ya adelantamos en la nota de ayer, esta nueva versión de Bagle se distribuye por correo electrónico en un mensaje con el texto “price” o “new price”, el campo del asunto en blanco, y adjuntando un archivo ZIP de 5,94Kb con diferentes nombres que tienen en común la cadena “price”: price.zip, price2.zip, price_new.zip, price_08.zip, 08_price.zip, newprice.zip, new_price.zip o new__price.zip.

El archivo ZIP contiene un HTML (price.html) y una carpeta con un EXE (price.exe) en su interior. El hecho de que utilizara un doble componente ha facilitado la labor a los antivirus, ya que algunos reconocían el exploit del HTML y otros detectaban al ejecutable por heurística o firmas genéricas.

En este apartado destacan BitDefender, McAfee, NOD32, Norman y Panda, que eran capaces de detectar el ZIP de esta variante de Bagle antes de su aparición, y protegían a sus usuarios en el mismo momento en que empezó a circular el gusano.

Detección proactiva del ZIP a través de “price.exe”:

Norman :: W32/Malware

Panda :: Fichero Sospechoso

Detección proactiva del ZIP a través de “price.html”:

BitDefender :: JS.Dword.dropper

McAfee :: JS/IllWill

NOD32 :: Win32/IE.Dword unknow infection type (Exploit)

A continuación los tiempos de reacción de las casas antivirus en proporcionar la actualización concreta para este gusano una vez había comenzado su propagación:

ClamWin 09.08.2004 19:01 :: Trojan.RunMe

F-Prot 09.08.2004 :: 20:13 :: HTML/ObjData@exp

NOD32v2 09.08.2004 20:44 :: Win32/Bagle.AI

TrendMicro 09.08.2004 21:41 :: TROJ_BAGLE.AC

McAfee 09.08.2004 21:56 :: W32/Bagle.dll.dr

BitDefender 09.08.2004 22:01 :: Win32.Bagle.AL@mm

Sophos 09.08.2004 22:28 :: W32/Bagle-AQ

Norman 09.08.2004 22:35 :: Bagle.AI@mm

Panda 09.08.2004 22:44 :: W32/Bagle.AM.worm

* No se ofrecen tiempos de Kaspersky y Symantec por problemas puntuales de VirusTotal en la actualización de estos motores, que podrían perjudicar sus resultados en esta ocasión. ClamWin, además de la actualización de las 19:01 en la que incluía la firma específica para el archivo HTML, realizó una posterior a las 20:33 para detectar el ejecutable como Worm.Bagle.AI.

Estos datos son proporcionados por VirusTotal, y los tiempos se encuentran en hora española (GMT+2 en verano).

En cuanto al gusano, incluye su propio motor SMTP para enviar por e-mail a otras direcciones que recolecta en el sistema infectado buscando en los archivos con extensión: .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm y .jsp.

Evita enviarse a las direcciones que contenga alguna de las siguientes cadenas: @eerswqe, @derewrdgrs, @microsoft, rating@, f-secur, news, update, anyone@, bugs@, contract@, feste, gold-certs@, help@, info@, nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab, winzip, google, winrar, samples, abuse, panda, cafee, spam, pgp, @avp., noreply, local, root@, y postmaster@.

Además de por e-mail, intenta propagarse a través de las redes P2P, realizando copias del gusano en las carpetas del sistema infectado cuyo nombre contenga la cadena “shar”, que coincide con muchos de los directorios por defecto utilizados por los clientes P2P. Los nombres que utiliza para copiar el gusano en estas carpetas de archivos compartidos son:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe