Bagle.O
PeligrosidadDañoPropagación

Efectos 

Bagle.O realiza las siguientes acciones:

• Infecta ficheros PE, incrementando su tamaño en 44 KBytes.
• Crea un backdoor que abre el puerto TCP 2556.
• Termina los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema, entre otros:
  

  AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET.EXE, CFINET32.EXE, CFINET32.EXE, CLEAN.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANER3.EXE, CLEANPC.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMGRDIAN.EXE, CMON016.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.

  
  

Metodo de Infección 

Bagle.O crea los siguientes ficheros en el directorio de sistema de Windows:

• WINUPD.EXE. Este fichero es una copia del gusano.
• WINUPD.EXEOPEN y WINUPD.EXEOPENOPEN. Estos ficheros son copias del gusano, comprimidas en formato ZIP o RAR, que serán enviadas a través del correo electrónico.
• WINUPD.EXEOPENOPENOPEN. Se trata de un fichero gráfico.

Bagle.O crea la siguiente entrada en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  winupd.exe = %sysdir%\ winupd.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Bagle.O se asegura de que es ejecutado cada vez que se inicia Windows.

Bagle.O borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  9XHtProtect
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  9XHtProtect
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Antivirus
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Antivirus
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  HtProtect
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  HtProtect
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQ Net
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQ Net
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQNet
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  ICQNet
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  My AV
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  My AV
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Special Firewall Service
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Special Firewall Service
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Tiny AV
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Tiny AV
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Zone Labs Client Ex
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Zone Labs Client Ex
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  service
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  service
  Estas entradas pertenecen a diferentes variantes del gusano Netsky.

Método de Propagación 

Bagle.O se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.O realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:
  
  Remitente:
  Bagle.O falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  Además, Bagle.O puede utilizar cualquiera de los siguientes remitentes:
  administration@%dominio%
  management@%dominio%
  noreply@%dominio%
  staff@%dominio%
  support@%dominio%
  antivirus@%dominio%
  antispam@%dominio%
  donde %dominio% es el dominio de correo del receptor.
  
  Asunto: uno de los siguientes:
  Account notify
  E-mail account disabling warning.
  E-mail account security warning.
  Email account utilization warning.
  Email report
  E-mail technical support message.
  E-mail technical support warning.
  E-mail warning
  Encrypted document
  Fax Message Received
  Forum notify
  Hidden message
  Important notify
  Important notify about your e-mail account.
  Incoming message
  Notify about using the e-mail account.
  Notify about your e-mail account utilization.
  Notify from e-mail technical support.
  Protected message
  Re: Document
  Re: Hello
  Re: Hi
  Re: Incoming Fax
  Re: Incoming Message
  Re: Msg reply
  RE: Protected message
  RE: Text message
  Re: Thank you!
  Re: Thanks :)
  Re: Yahoo!
  Request response
  Site changes
  Warning about your e-mail account.
  
  Contenido: está compuesto una frase de cada una de las siguientes listas:
  Lista 1: saludo
  Dear user of %dominio%,
  Dear user of %dominio% gateway e-mail server,
  Dear user of e-mail server "%dominio%",
  Hello user of %dominio% e-mail server,
  Dear user of "%dominio%" mailing system,
  Dear user, the management of %dominio% mailing system wants to let you know that
  donde %dominio% es el dominio de correo del receptor.
  
  Lista 2: mensaje principal
  

  Your e-mail account has been temporary disabled because of unauthorized access.
  
  Our main mailing server will be temporary unavaible for next two days,
  to continue receiving mail in these days you have to configure our free
  auto-forwarding service.
  
  Your e-mail account will be disabled because of improper using in next
  three days, if you are still wishing to use it, please, resign your
  account information.
  
  We warn you about some attacks on your e-mail account. Your computer may
  contain viruses, in order to keep your computer and e-mail account safe,
  please, follow the instructions.
  
  Our antivirus software has detected a large ammount of viruses outgoing
  from your email account, you may use our free anti-virus tool to clean up
  your computer software.
  
  Some of our clients complained about the spam (negative e-mail content)
  outgoing from your e-mail account. Probably, you have been infected by
  a proxy-relay trojan server. In order to keep your computer safe,
  follow the instructions.
  
  

  Lista 3: información del adjunto
  Advanced details can be found in attached file.
  Find the white rabbit.
  Follow the wabbit.
  For details see the attach.
  For details see the attached file.
  For further details see the attach.
  For more information see the attached file.
  Further details can be obtained from attached file.
  Here is the file.
  Message is in attach
  More info in attach
  Pay attention on attached file.
  Please, have a look at the attached file.
  Please, read the attach for further details.
  Read the attach.
  See attach.
  See the attached file for details.
  Your file is attached.
  
  List 4: información de la contraseña
  El elemento de esta lista sólo aparece cuando la extensión del adjunto es ZIP o RAR.
  Password: %contraseña%
  Pass - %contraseña%
  Password - %contraseña%
  For security reasons attached file is password protected. The password is %imagen adjunta insertada%
  For security purposes the attached file is password protected. Password -- %imagen adjunta insertada%
  Attached file is protected with the password for security reasons. Password is %imagen adjunta insertada%
  In order to read the attach you have to use the following password: %imagen adjunta insertada%
  Archive password: %imagen adjunta insertada%
  Password - %imagen adjunta insertada%
  Password: %imagen adjunta insertada%
  donde %contraseña% es la contraseña necesario para descomprimir el archivo adjunto. Si el ordenador desde el que se envía el correo tiene el archivo de sistema GDIPLUS.DLL , esta contraseña se puede dar dentro de una imagen %imagen adjunta insertada%.
  
  List 5: closing
  The Management,
  Sincerely,
  Best wishes,
  Have a good day,
  Cheers,
  Kind regards,
  Yours,
  Para finalizar, se incluye el siguiente texto:
  The %dominio% team                http://www.%dominio%
  donde %dominio% es el dominio de correo del receptor.
  
  Archivo adjunto: tiene nombre variable, que se compone de un nombre y una extensión:
  Posibles nombres: ATTACH, DETAILS, DOCUMENT, ENCRYPTED, FIRST_PART, GIFT,INFO, INFORMATION, MESSAGE, MOREINFO, PUB_DOCUMENT, README, TEXT, TEXT_DOCUMENT o TEXTDOCUMENT. Posibles extensiones: EXE, PIF, ZIP o RAR.
  Si el ordenador desde el cual se envía el correo tiene el archivo de sistema GDIPLUS.DLL, la contraseña usada para descomprimir el archivo adjunto, se puede enviar asjunta al mensaje como un archivo gráfico con extensión BMP, JPG o GIF.
• El ordenador es afectado cuando se ejecuta el archivo adjunto.
• Bagle.O busca direcciones de correo electrónico en todos los archivos con extensión ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
• Bagle.O envía una copia de sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
• Sin embargo, evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto: @avp., @foo, @hotmail.com, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, winrar y winzip.
  

2.- Propagación a través de programas P2P.

Bagle.O realiza el siguiente proceso:

• Crea copias de sí mismo en directorios que contengan en su nombre la cadena de texto SHAR, con los siguientes nombres:
  Microsoft Office 2003 Crack, Working!.exe
  Microsoft OfficeXP working Crack, Keygen.exe
  Microsoft Windows XP, WinXP Crack,working Keygen.exe
  Porno Screensaver.scr
  Porno,sex, oral, anal cool, awesome!!.exe
  Porno pics arhive, xxx.exe
  Serials.txt.exe
  Windown Longhorn Beta Leak.exe
  Windows Sourcecode update.doc.exe
  XXX hardcore images.exe
  Opera 8 New!.exe
  WinAmp5 Pro Keygen Crack Update.exe
  WinAmp 6 New!.exe
  Matrix 3 Revolution English Subtitles.exe
  Adobe Photoshop 9 full.exe
  Ahead Nero7.exe
  ACDSee 9.exe
• Otros usuarios de este programa podrán acceder de manera remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia de Bagle.O.
• Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Bagle.O.

Otros Detalles  

Bagle.O está escrito en el lenguaje de programación Visual C++. Este virus tiene un tamaño de 23558 Bytes cuando está comprimido con UPX, y de 44189 Bytes una vez es descomprimido.

El código de este virus contiene el siguiente texto en su interior, aunque no es mostrado en ningún momento: