Bagle.D
PeligrosidadDañoPropagación

Efectos 

Bagle.D realiza las siguientes acciones:

• Crea un backdoor que abre el puerto TCP 2745.
• Intenta conectarse a varias páginas web que albergan un script PHP:
  http://permail.uni-muenster.de/scr.php
  http://www.songtext.net/de/scr.php
  http://www.sportscheck.de/scr.php
  
  De este modo, notifica a su autor que el ordenador afectado puede ser accedido a través del puerto que ha abierto.
• Termina los procesos correspondientes a aplicaciones de actualización de diversos programas antivirus:
  ATUPDATER.EXE
  ATUPDATER.EXE
  AUPDATE.EXE
  AUTODOWN.EXE
  AUTOTRACE.EXE
  AUTOUPDATE.EXE
  AVLTMAIN.EXE
  AVPUPD.EXE
  AVWUPD32.EXE
  AVXQUAR.EXE
  CFIAUDIT.EXE
  DRWEBUPW.EXE
  ICSSUPPNT.EXE
  ICSUPP95.EXE
  LUALL.EXE
  MCUPDATE.EXE
  NUPGRADE.EXE
  NUPGRADE.EXE
  OUTPOST.EXE
  UPDATE.EXE
• Este gusano sólo se ejecuta si la fecha del sistema es menor o igual al 14 de marzo de 2004. Después de esta fecha, el gusano termina su ejecución.
• Abre el programa Bloc de Notas la primera vez que es ejecutado.

Metodo de Infección 

Bagle.D crea los siguientes archivos en el directorio de sistema de Windows:

• README.EXE. Este archivo es una copia del gusano.
• DOC.EXE y ONDE.EXE. Estos archivos son librerías de soporte.
• README.EXEOPEN. Este archivo contiene el gusano comprimido en formato ZIP, que será el que se envíe por correo electrónico.

Bagle.D crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  gouday.exe = %sysdir%\ readme.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Bagle.D se asegura de que es ejecutado cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ SOFTWARE\ DateTime3
  uid = %aleatorio%
  donde %aleatorio% es un valor aleatorio.
• HKEY_CURRENT_USER\ SOFTWARE\ DateTime3
  port = 2745
• HKEY_CURRENT_USER\ Software\ DateTime3
  frn = 1
  Bagle.D crea esta entrada para indicar que ya ha afectado al ordenador.

Método de Propagación 

Bagle.D se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje escrito en inglés con las siguientes características:
  
  Remitente:
  Bagle.D falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: uno de los siguientes:
  Accounts department
  Ahtung!
  Camila
  Daily activity report
  Flayers among us
  Freedom for everyone
  From Hair-cutter
  From me
  Greet the day
  Hardware devices price-list
  Hello my friend
  Hi!
  Jenny
  Jessica
  Looking for the report
  Maria
  Melissa
  Monthly incomings summary
  New Price-list
  Price
  Price list
  Pricelist
  Price-list
  Proclivity to servitude
  Registration confirmation
  The account
  The employee
  The summary
  USA government abolishes the capital punishment
  Weekly activity report
  Well...
  You are dismissed
  You really love me? he he
  
  Contenido: el mensaje se envía sin contenido en el cuerpo.
  
  
  Archivo adjunto:
  El archivo adjunto tiene un nombre con varios caracteres aleatorios, pero que siempre tiene extensión ZIP. Tiene el mismo icono que una hoja de cálculo de Excel.
  
• Una vez ejecutado, el ordenador queda afectado.
• Bagle.D busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, DBX, EML, HTM, HTML, MDX, MMF, NCH, ODS, PHP, PL, SHT, TXT y WAB.
• Bagle.D se envía a sí mismo a todas las direcciones de correo que ha recogido, emplendo para ello su propio motor SMTP, pero exceptuando aquellas que que pertenecen a los siguientes dominios: hotmail.com, msn.com, microsoft.com y avp.com, o contienen alguna de las siguientes cadenas de texto: local, noreply, postmaster@, root@.
• El gusano realiza consultas MX para obtener las direcciones IP de los dominios de correo.

Otros Detalles  

Bagle.D está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 15872 Bytes.

Bagle.D intenta localizar la ventana que tiene por nombre Shell_TrayWnd, así como el mutex iain_m2. Además, realiza una búsqueda de procesos cuyo archivo ejecutable sea DOC.EXE.

Cuando es ejecutado, Bagle.D comprueba los parámetros de la línea de comandos desde donde ha sido llamado, que le permiten actualizarse o borrarse a sí mismo.