El asunto del mensaje donde viaja Bagle.B comienza por «ID», seguido de unos caracteres aleatorios, y finaliza con «… thanks». El cuerpo del mensaje comienza por «Yours ID», seguido de una cadena aleatoria, y finaliza con «Thank». A continuación reproducimos el aspecto de un mensaje infectado:
———-
De: [dirección de e-mail falseada]
Para: dirección e-mail del destinatario
Asunto: ID mdjpvgkgqik… thanks
Cuerpo:
Yours ID lmxlirpbr
– —
Thank
Adjunto: pwxyicp.exe
———-
El ejecutable, comprimido con UPX, tiene un tamaño de unos 11Kbs (11.264bytes). Si el usuario abre el archivo, el gusano ejecuta la Grabadora de sonidos de Windows (sndrec32.exe) en un intento de engañar al usuario, mientras que de forma oculta comienza su rutina de infección del sistema y propagación.
En primer lugar realiza una copia del ejecutable infectado en el directorio de sistema de Windows con el nombre de archivo «au.exe», e introduce la siguiente entrada en el registro de Windows para asegurarse su ejecución cada vez que el usuario inicie el sistema:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun «au.exe» = «%system%au.exe»
Adicionalmente el gusano crea esta otra entrada en el registro:
HKEY_CURRENT_USERSOFTWAREWindows2000
Para propagarse el gusano busca direcciones de correo en el sistema infectado, recolectando los e-mails que encuentra en los archivos con extensión .WAB, .TXT, .HTM y .HTML. Utilizando su propio motor SMTP, se autoenvía a las diferentes direcciones recolectadas, con la excepción de aquellas cuyo dominio sea @hotmail.com, @msn.com, @microsoft o @avp. El gusano falsifica el e-mail de remite, de forma que no corresponderá al usuario realmente infectado desde cuyo sistema se está enviando el gusano.
De forma periódica intenta conectar con los siguientes sitios webs, incluyendo en la petición el puerto abierto en el sistema infectado e ID, en lo que parece ser un sistema de notificación ideado por el creador del virus para tener controlados los sistemas infectados:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
Por defecto el gusano abre una puerta trasera en el puerto TCP/8866, utilizando otro puerto en el caso de que éste no estuviera disponible. A través de él, un atacante con acceso a dicho puerto, podría ejecutar comandos, descargar y ejecutar aplicaciones, todo de forma remota.
Prevención
Como siempre la regla de oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos, sobre todo si no hemos demandado su envío. Adicionalmente, contar con soluciones antivirus correctamente instaladas y puntualmente actualizadas. También resulta útil seguir los foros de seguridad o listas como «una-al-día», para estar al tanto de las últimas amenazas que nos pueden afectar.
La reacción de las diferentes soluciones antivirus, en ofrecer la actualización pertinente a sus usuarios para detectar el nuevo gusano, ha sido la siguiente:
Sophos 17/02/2004 14:06:46 :: W32/Tanx-A
Panda 17/02/2004 14:23:37 :: W32/Yourid.A.worm
NOD32 17/02/2004 14:54:52 :: Win32/Bagle.B
Kaspersky 17/02/2004 14:55:02 :: I-Worm.Bagle.b
TrendMicro 17/02/2004 17:33:58 :: WORM_BAGLE.B
McAfee 17/02/2004 17:53:08 :: W32/Bagle.b@MM
Estos datos pertenecen a las soluciones antivirus monitorizadas 24hx7d por el laboratorio de Hispasec. Donde las horas mencionadas son hora española (GMT+1). Comentarios adicionales:
Panda, que reconoció la muestra infectada a las 14:23:37 como «W32/Yourid.A.worm», lo detecta como «W32/Bagle.B.worm» a partir de la actualización registrada a las 17:15:53.
NOD32, que incluyó la firma específica a las 14:54:52 reconociéndolo como «Win32/Bagle.B», nos informa de que su motor residente, que incluye la función de heurística avanzada, ya reconocía este espécimen sin necesidad de la firma.
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
