Bagle.AM
PeligrosidadDañoPropagación

Efectos 

Bagle.AM realiza las siguientes acciones:

• Abre un puerto TCP y permanece a la escucha, permitiendo acceso remoto al ordenador afectado para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
• Finaliza los siguientes procesos, si se encuentran activos en memoria:
  ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, sys_xp.exe, sysxp.exe, UPDATE.EXE y winxp.exe.
  Estos procesos pertenecen, entre otros, a programas de actualización de antivirus. Su finalización evita que puedan ofrecer protección contra virus de nueva aparición. Además, algunos de los procesos corresponden a otros gusanos.
• Intenta descargar un falso archivo JPG desde las siguientes páginas web:
  http://134.102.228.45
  http://196.12.49.27
  http://213.188.129.72
  http://64.62.172.118
  http://abi-2004.org
  http://advm1.gm.fh-koeln.de
  http://alexey.pioneers.com.ru
  http://alfinternational.ru
  http://aus-Zeit.com
  http://binn.ru
  http://burn2k.ipupdater.com
  http://carabi.ru
  http://catalog.zelnet.ru
  http://cavalierland.5u.com
  http://celine.artics.ru
  http://change.east.ru
  http://colleen.ai.net
  http://controltechniques.ru
  http://dev.tikls.net
  http://diablo.homelinux.com
  http://dodgetheatre.com
  http://dozenten.f1.fhtw-berlin.de
  http://emnesty.w.interia.pl
  http://emnezz.e-mania.pl
  http://euroviolence.com
  http://evadia.ru
  http://fairy.dataforce.net
  http://financial.washingtonpost.com
  http://free.bestialityhost.com
  http://gutemine.wu-wien.ac.at
  http://herzog.cs.uni-magdeburg.de
  http://home.profootball.ru
  http://host.businessweek.com
  http://host.wallstreetcity.com
  http://host23.ipowerweb.com
  http://hsr.zhp.org.pl
  http://infokom.pl
  http://kafka.punkt.pl
  http://kooltokyo.ru
  http://kypexin.ru
  http://lars-s.privat.t-online.de
  http://lottery.h11.ru
  http://matzlinger.com
  http://megion.ru
  http://mmag.ru
  http://molinero-berlin.de
  http://momentum.ru
  http://niebo.net
  http://nominal.kaliningrad.ru
  http://omegat.ru
  http://ourcj.com
  http://packages.debian.or.jp
  http://pb195.slupsk.sdi.tpnet.pl
  http://photo.gornet.ru
  http://pixel.co.il
  http://pocono.ru
  http://polobeer.de
  http://porno-mania.net
  http://protek.ru
  http://przeglad-tygodnik.pl
  http://przeglad-tygodnik.pl
  http://quotes.barchart.com
  http://r2626r.de
  http://rausis.latnet.lv
  http://relay.great.ru
  http://republika.pl
  http://sacred.ru
  http://sbuilder.ru
  http://sec.polbox.pl
  http://shadkhan.ru
  http://silesianet.pl
  http://silesianet.pl
  http://slavarik.ru
  http://sovea.de
  http://spbbook.ru
  http://strony.wp.pl
  http://szm.sk
  http://tarkosale.net
  http://tdi-router.opola.pl
  http://terramail.pl
  http://thorpedo.us
  http://traveldeals.sidestep.com
  http://ultimate-best-hgh.0my.net
  http://vip.pnet.pl
  http://werel1.web-gratis.net
  http://www.5100.ru
  http://www.aannemers-nederland.nl
  http://www.abcdesign.ru
  http://www.airnav.com
  http://www.aktor.ru
  http://www.ankil.ru
  http://www.antykoncepcja.net
  http://www.aphel.de
  http://www.artics.ru
  http://www.astoria-stuttgart.de
  http://www.avant.ru
  http://www.baltmatours.com
  http://www.baltnet.ru
  http://www.biratnagarmun.org.np
  http://www.biysk.ru
  http://www.boglen.com
  http://www.bridesinrussia.com
  http://www.busheron.ru
  http://www.ccbootcamp.com
  http://www.chat4adult.com
  http://www.chelny.ru
  http://www.ciachoo.pl
  http://www.dami.com.pl
  http://www.ddosers.net
  http://www.dicto.ru
  http://www.dilver.ru
  http://www.dsmedia.ru
  http://www.dynex.ru
  http://www.elemental.ru
  http://www.elit-line.ru
  http://www.epski.gr
  http://www.forbes.com
  http://www.free-time.ru
  http://www.gamma.vyborg.ru
  http://www.gantke-net.com
  http://www.gin.ru
  http://www.glass-master.ru
  http://www.glavriba.ru
  http://www.gradinter.ru
  http://www.hack-gegen-rechts.com
  http://www.hbz-nrw.de
  http://www.hgr.de
  http://www.hgrstrailer.com
  http://www.ifa-guide.co.uk
  http://www.iluminati.kicks-ass.net
  http://www.infognt.com
  http://www.intellect.lvc
  http://www.interfoodtd.ru
  http://www.interrybflot.ru
  http://www.inversorlatino.com
  http://www.jewishgen.org
  http://www.k2kapital.com
  http://www.kefaloniaresorts.com
  http://www.lamatec.com
  http://www.landofcash.net
  http://www.laserbuild.ru
  http://www.math.kobe-u.ac.jp
  http://www.mcschnaeppchen.com
  http://www.mdmedia.org
  http://www.met.pl
  http://www.metacenter.ru
  http://www.milm.ru
  http://www.myrtoscorp.com
  http://www.nefkom.net
  http://www.neostrada.pl
  http://www.neprifan.ru
  http://www.netradar.com
  http://www.no-abi2003.de
  http://www.oldtownradio.com
  http://www.omnicom.ru
  http://www.oshweb.com
  http://www.pakwerk.ru
  http://www.perfectgirls.net
  http://www.perfectjewel.com
  http://www.peterstar.ru
  http://www.pgipearls.com
  http://www.phg.pl
  http://www.PlayGround.ru
  http://www.porsa.ru
  http://www.porta.de
  http://www.rafani.cz
  http://www.rastt.ru
  http://www.republika.pl
  http://www.republika.pl
  http://www.rollenspielzirkel.de
  http://www.rubikon.pl
  http://www.rumbgeo.ru
  http://www.rweb.ru
  http://www.scli.ru
  http://www.sdsauto.ru
  http://www.sensi.com
  http://www.silesianet.pl
  http://www.sjgreatdeals.com
  http://www.sposob.ru
  http://www.strefa.pl
  http://www.tanzen-in-sh.de
  http://www.taom-clan.de
  http://www.tayles.com
  http://www.teatr-estrada.ru
  http://www.teleline.ru
  http://www.thepositivesideofsports.com
  http://www.timelessimages.com
  http://www.tuhart.net
  http://www.vconsole.net
  http://www.vendex.ru
  http://www.virtmemb.com
  http://www.vivamedia.ru
  http://www.vrack.net
  http://www.wapf.com
  http://www.webpark.pl
  http://www.webronet.com
  http://www.webzdarma.cz
  http://www.yarcity.ru
  http://www.youbuynow.com
  http://www.zeiss.ru
  http://www.zelnet.ru
  http://www.zhp.gdynia.pl
  http://wynnsjammer.proboards18.com
  http://yaguark.h10.ru
  Este supuesto archivo JPG es, en realidad, un archivo ejecutable con extensión EXE que contiene otro componente del gusano.
• Si el ordenador estaba afectado por alguna variante del gusano Netsky, Bagle.AM evita que se ejecuten cuando Windows se inicia.

Metodo de Infección 

El archivo EXE oculto en el archivo ZIP crea los siguientes archivos en el directorio de sistema de Windows:

• WINDIRECT.EXE, que es una copia del que realiza la descarga, y tiene un tamaño de 14848 Bytes.
• _DLL.EXE. Este archivo es una DLL (Librería de Enlace Dinámico), que finaliza procesos y descarga otro componente del gusano. Su tamaño es de 11776 Bytes.

El archivo EXE descargado desde los sitios web crea los archivos WINDLL.EXE, WINDLL.EXEOPEN y WINDLL.EXEOPENOPEN en el directorio de sistema de Windows. Estos archivos son copias del gusano, y tienen un tamaño de 19460 Bytes.

El archivo EXE oculto en el ZIP crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  win_upd2.exe = %sysdir%\ WINdirect.exe
  donde %sysdir% es el directorio de sistema de Windows.
  
  Si no consigue crear esta entrada, intentará crear la siguiente:
  HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  win_upd2.exe = %sysdir%\ WINdirect.exe
  Mediante estas entradas, Bagle.AM consigue ejecutarse cada vez que Windows se inicia.

El archivo EXE descargado de Internet crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Ru1n
  erthgdr = %sysdir%\ windll.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Ru1n
  erthgdr = %sysdir%\ windll.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ DownloadManager

Bagle.AM borra de estas rutas del Registro de Windows:

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

todas las entradas que tengan alguno de los siguientes nombres:

9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex

Dichas entradas pertenecen a diferentes variantes del gusano Netsky.

Método de Propagación 

Bagle.AM se propaga a través del correo electrónico y de programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.AM realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo escrito en inglés con las siguientes características:
  
  Remitente:
  Bagle.AM falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: está vacío.
  
  Contenido:
  new price
  
  Archivo adjunto: uno de los siguientes:
  08_PRICE.ZIP
  NEW__PRICE.ZIP
  NEW_PRICE.ZIP
  NEWPRICE.ZIP
  PRICE.ZIP
  PRICE_08.ZIP
  PRICE_NEW.ZIP
  PRICE2.ZIP
  Este archivo adjunto contiene un archivo HTML, junto con un archivo EXE oculto.
• El ordenador queda afectado cuando el usuario descomprime el archivo adjunto y abre el archivo HTML que contiene, con lo que el archivo ejecutable oculto es lanzado automáticamente.
• Bagle.AM busca direcciones de correo electrónico en todos los archivos que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
• Después, envía una copia de sí mismo a todas las direcciones que ha recogido, utilizando su propio motor SMTP.
• Sin embargo, Bagle.AM no se envía a ninguna dirección que contenga alguna de estas cadenas de texto:
  @avp., @foo, @iana, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar y winzip.

2.- Propagación a través de programas de intercambio de archivos P2P.

Bagle.AM realiza el siguiente proceso:

• Crea múltiples copias de sí mismo en los directorios compartidos de estos programas (KaZaA, KaZaA Lite, eDonkey2000, Gnucleus, Limewire, Morpheus, Grokster, etc).
• Las copias de Bagle.AM tienen los siguientes nombres:
  ACDSee 9.exe
  Adobe Photoshop 9 full.exe
  Ahead Nero 7.exe
  Kaspersky Antivirus 5.0
  KAV 5.0
  Matrix 3 Revolution English Subtitles.exe
  Microsoft Office 2003 Crack, Working!.exe
  Microsoft Office XP working Crack, Keygen.exe
  Microsoft Windows XP, WinXP Crack, working Keygen.exe
  Opera 8 New!.exe
  Porno pics arhive, xxx.exe
  Porno Screensaver.scr
  Porno, sex, oral, anal cool, awesome!!.exe
  Serials.txt.exe
  WinAmp 5 Pro Keygen Crack Update.exe
  WinAmp 6 New!.exe
  Windown Longhorn Beta Leak.exe
  Windows Sourcecode update.doc.exe
  XXX hardcore images.exe

• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.AM, pensando que se trata de aplicaciones informáticas interesantes, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Cuando el archivo descargado es ejecutado, esos otros ordenadores quedarán afectados por Bagle.AM.

Otros Detalles  

El falso archivo JPG descargado de Internet está comprimido con PeX modificado.