Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Bagle.BL tiene como fecha límite de activación el 25 de abril de 2006; después de esta fecha, finalizará automáticamente su ejecución cuando sea activado. Hasta entonces, realizará las siguientes acciones, únicamente en ordenadores con Windows XP/2000/NT:
- Finaliza los siguientes procesos, si se encuentran activos en memoria:
alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, bawindo.exe, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe y VsTskMgr.exe.
Algunos de estos procesos pertenecen a determinadas herramientas de seguridad, como por ejemplo varios programas antivirus y cortafuegos, lo que deja al ordenador afectado vulnerable frente al ataque de otro malware.
Por el contrario, otros procesos de dicha lista pertenecen a diverso malware. - Se conecta a diversas páginas web para descargar un falso archivo JPG, que será guardado en el directorio de sistema de Windows como RE_FILE.EXE:
http://www.pyrlandia-boogie.pl/<bloqueado>.jpg
http://www.kps4parents.com/<bloqueado>.jpg
http://www.pipni.cz/<bloqueado>.jpg
http://www.selu.edu/<bloqueado>.jpg
http://www.travelchronic.de/<bloqueado>.jpg
http://www.fleigutaetscher.ch/<bloqueado>.jpg
http://www.irakli.org/<bloqueado>.jpg
http://www.oboe-online.com/<bloqueado>.jpg
http://www.oboe-online.com/<bloqueado>.jpg
http://www.pe-sh.com/<bloqueado>.jpg
http://www.idb-group.net/<bloqueado>.jpg
http://www.ceskyhosting.cz/<bloqueado>.jpg
http://www.ceskyhosting.cz/<bloqueado>.jpg
http://www.hartacorporation.com/<bloqueado>.jpg
http://www.glass.la/<bloqueado>.jpg
http://www.glass.la/<bloqueado>.jpg
http://www.24-7-transportation.com/<bloqueado>.jpg
http://www.fepese.ufsc.br/<bloqueado>.jpg
http://www.ellarouge.com.au/<bloqueado>.jpg
http://www.bbsh.org/<bloqueado>.jpg
http://www.boneheadmusic.com/<bloqueado>.jpg
http://www.sljinc.com/<bloqueado>.jpg
http://www.tivogoddess.com/<bloqueado>.jpg
http://www.fcpages.com/<bloqueado>.jpg
http://www.szantomierz.art.pl/<bloqueado>.jpg
http://www.elenalazar.com/<bloqueado>.jpg
http://www.generationnow.net/<bloqueado>.jpg
http://www.flashcorp.com/<bloqueado>.jpg
http://www.kencorbett.com/<bloqueado>.jpg
http://www.FritoPie.NET/<bloqueado>.jpg
http://www.leonhendrix.com/<bloqueado>.jpg
http://www.transportation.gov.bh/<bloqueado>.jpg
http://www.transportation.gov.bh/<bloqueado>.jpg
http://www.jhaforpresident.7p.com/<bloqueado>.jpg
http://www.DarrkSydebaby.com/<bloqueado>.jpg
http://www.cntv.info/<bloqueado>.jpg
http://www.sugardas.lt/<bloqueado>.jpg
http://www.adhdtests.com/<bloqueado>.jpg
http://www.argontech.net/<bloqueado>.jpg
http://www.customloyal.com/<bloqueado>.jpg
http://www.ohiolimo.com/<bloqueado>.jpg
http://www.topko.sk/<bloqueado>.jpg
http://www.ssmifc.ca/<bloqueado>.jpg
http://www.reliance-yachts.com/<bloqueado>.jpg
http://www.worest.com.ar/<bloqueado>.jpg
http://www.kps4parents.com/<bloqueado>.jpg
http://www.coolfreepages.com/<bloqueado>.jpg
http://www.scanex-medical.fi/<bloqueado>.jpg
http://www.jimvann.com/<bloqueado>.jpg
http://www.orari.net/<bloqueado>.jpg
http://www.himpsi.org/<bloqueado>.jpg
http://www.mtfdesign.com/<bloqueado>.jpg
http://www.jldr.ca/<bloqueado>.jpg
http://www.relocationflorida.com/<bloqueado>.jpg
http://www.rentalstation.com/<bloqueado>.jpg
http://www.approved1stmortgage.com/<bloqueado>.jpg
http://www.velezcourtesymanagement.com/<bloqueado>.jpg
http://www.sunassetholdings.com/<bloqueado>.jpg
http://www.compsolutionstore.com/<bloqueado>.jpg
http://www.uhcc.com/<bloqueado>.jpg
http://www.justrepublicans.com/<bloqueado>.jpg
http://www.pfadfinder-leobersdorf.com/<bloqueado>.jpg
http://www.featech.com/<bloqueado>.jpg
http://www.vinirforge.com/<bloqueado>.jpg
http://www.magicbottle.com.tw/<bloqueado>.jpg
http://www.giantrevenue.com/<bloqueado>.jpg
http://www.couponcapital.net/<bloqueado>.jpg
http://www.crystalrose.ca/<bloqueado>.jpg
http://www.bottombouncer.com/<bloqueado>.jpg
http://www.anthonyflanagan.com/<bloqueado>.jpg
http://www.bradster.com/<bloqueado>.jpg
http://www.traverse.com/<bloqueado>.jpg
http://www.ims-i.com/<bloqueado>.jpg
http://www.realgps.com/<bloqueado>.jpg
http://www.aviation-center.de/<bloqueado>.jpg
http://www.gci-bln.de/<bloqueado>.jpg
http://www.pankration.com/<bloqueado>.jpg
http://www.jansenboiler.com/<bloqueado>.jpg
http://www.corpsite.com/<bloqueado>.jpg
http://www.everett.wednet.edu/<bloqueado>.jpg
http://www.onepositiveplace.org/<bloqueado>.jpg
http://www.raecoinc.com/<bloqueado>.jpg
http://www.wwwebad.com/<bloqueado>.jpg
http://www.corpsite.com/<bloqueado>.jpg
http://www.wwwebmaster.com/<bloqueado>.jpg
http://www.wwwebad.com/<bloqueado>.jpg
http://www.dragcar.com/<bloqueado>.jpg
http://www.wwwebad.com/<bloqueado>.jpg
http://www.oohlala-kirkland.com/<bloqueado>.jpg
http://www.calderwoodinn.com/<bloqueado>.jpg
http://www.buddyboymusic.com/<bloqueado>.jpg
http://www.smacgreetings.com/<bloqueado>.jpg
http://www.tkd2xcell.com/<bloqueado>.jpg
http://www.curtmarsh.com/<bloqueado>.jpg
http://www.dontbeaweekendparent.com/<bloqueado>.jpg
http://www.soloconsulting.com/<bloqueado>.jpg
http://www.lasermach.com/<bloqueado>.jpg
http://www.alupass.lu/<bloqueado>.jpg
http://www.sigi.lu/<bloqueado>.jpg
http://www.redlightpictures.com/<bloqueado>.jpg
http://www.irinaswelt.de/<bloqueado>.jpg
http://www.bueroservice-it.de/<bloqueado>.jpg
http://www.kranenberg.de/<bloqueado>.jpg
http://www.kranenberg.de/<bloqueado>.jpg
http://www.the-fabulous-lions.de/<bloqueado>.jpg
http://www.the-fabulous-lions.de/<bloqueado>.jpg
http://www.mongolische-renner.de/<bloqueado>.jpg
http://www.mongolische-renner.de/<bloqueado>.jpg
http://www.capri-frames.de/<bloqueado>.jpg
http://www.capri-frames.de/<bloqueado>.jpg
http://www.aimcenter.net/<bloqueado>.jpg
http://www.boneheadmusic.com/<bloqueado>.jpg
http://www.fludir.is/<bloqueado>.jpg
http://www.sljinc.com/<bloqueado>.jpg
http://www.tivogoddess.com/<bloqueado>.jpg
http://www.fcpages.com/<bloqueado>.jpg
http://www.andara.com/<bloqueado>.jpg
http://www.freeservers.com/<bloqueado>.jpg
http://www.programmierung2000.de/<bloqueado>.jpg
http://www.asianfestival.nl/<bloqueado>.jpg
http://www.aviation-center.de/<bloqueado>.jpg
http://www.gci-bln.de/<bloqueado>.jpg
http://www.mass-i.kiev.ua/<bloqueado>.jpg
http://www.jasnet.pl/<bloqueado>.jpg
http://www.atlantisteste.hpg.com.br/<bloqueado>.jpg
http://www.fludir.is/<bloqueado>.jpg
http://www.rieraquadros.com.br/<bloqueado>.jpg
http://www.metal.pl/<bloqueado>.jpg
http://www.handsforhealth.com/<bloqueado>.jpg
http://www.angelartsanctuary.com/<bloqueado>.jpg
http://www.firstnightoceancounty.org/<bloqueado>.jpg
http://www.chinasenfa.com/<bloqueado>.jpg
http://www.chinasenfa.com/<bloqueado>.jpg
http://www.ulpiano.org/<bloqueado>.jpg
http://www.gamp.pl/<bloqueado>.jpg
http://www.vikingpc.pl/<bloqueado>.jpg
http://www.woundedshepherds.com/<bloqueado>.jpg
http://www.cpc.adv.br/<bloqueado>.jpg
http://www.velocityprint.com/<bloqueado>.jpg
http://www.esperanzaparalafamilia.com/<bloqueado>.jpg
http://www.celula.com.mx/<bloqueado>.jpg
http://www.mexis.com/<bloqueado>.jpg
http://www.wecompete.com/<bloqueado>.jpg
http://www.vbw.info/<bloqueado>.jpg
http://www.gfn.org/<bloqueado>.jpg
http://www.aegee.org/<bloqueado>.jpg
http://www.deadrobot.com/<bloqueado>.jpg
http://www.cscliberec.cz/<bloqueado>.jpg
http://www.ecofotos.com.br/<bloqueado>.jpg
http://www.amanit.ru/<bloqueado>.jpg
http://www.bga-gsm.ru/<bloqueado>.jpg
http://www.innnewport.com/<bloqueado>.jpg
http://www.knicks.nl/<bloqueado>.jpg
http://www.srg-neuburg.de/<bloqueado>.jpg
http://www.mepmh.de/<bloqueado>.jpg
http://www.mepbisu.de/<bloqueado>.jpg
http://www.kradtraining.de/<bloqueado>.jpg
http://www.polizeimotorrad.de/<bloqueado>.jpg
http://www.sea.bz.it/<bloqueado>.jpg
http://www.uslungiarue.it/<bloqueado>.jpg
http://www.gcnet.ru/<bloqueado>.jpg
http://www.aimcenter.net/<bloqueado>.jpg
http://www.vandermost.de/<bloqueado>.jpg
http://www.vandermost.de/<bloqueado>.jpg
http://www.szantomierz.art.pl/<bloqueado>.jpg
http://www.immonaut.sk/<bloqueado>.jpg
http://www.eurostavba.sk/<bloqueado>.jpg
http://www.spadochron.pl/<bloqueado>.jpg
Metodo de Infección
Bagle.BL crea los siguientes archivos en el directorio de sistema de Windows:
Bagle.BL crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
sysformat = %sysdir%\ sysformat.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Bagle.BL consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Params
riga
Bagle.BL utiliza esta entrada como marca de infección, para comprobar si el ordenador ya ha sido afectado.
Bagle.BL borra las siguientes entradas del Registro de Windows, si existen:
- Borra de las siguientes rutas:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
las entradas con alguno de los siguientes nombres:
My AV
ICQ Net
De este modo, evita que algunas variantes del gusano Netsky puedan ser ejecutadas automáticamente cada vez que Windows se inicie.
Método de Propagación
Bagle.BL se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).
1.- Propagación a través de correo electrónico.
Bagle.BL realiza el siguiente proceso:
Llega al ordenador afectado en un mensaje de características variables escrito en inglés:
Remitente:
Bagle.BL falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse
aquí.
Asunto: uno de los siguientes:
Delivery by mail
Delivery service mail
Is delivered mail
Registration is accepted
You are made active
Contenido: puede ser uno de los siguientes textos:
Before use read the help
Thanks for use of our software.
Archivo adjunto: tiene un nombre y extensión variables:
Posibles nombres: JOL03, GUUPD02, SIUPD02, UPD02, VIUPD02, WSD01, ZUPD02.
Posibles extensiones: COM, CPL, EXE, SCR.
El icono de este archivo adjunto es tomado aleatoriamente del ordenador que ha mandado el mensaje de correo.- El ordenador es afectado cuando el archivo adjunto es ejecutado.
- Bagle.BL busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
- Bagle.BL se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
- Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
@avp., @foo, @iana, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip.
2.- Propagación a través de programas de intercambio de archivos.
Bagle.BL realiza el siguiente proceso:
- Crea copias de sí mismo en todos los directorios cuyo nombre contenga la cadena de texto shar. De este modo, intenta copiarse en los directorios compartidos de programas P2P.
- Para ello, utiliza los siguientes nombres de archivo:
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe - Otros usuarios de estos programas podrán acceder de manera remota a los directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.BL, pensando que se trata de aplicaciones informáticas interesantes, películas, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.BL.
Otros Detalles
Bagle.BL tiene un tamaño de 18704 Bytes, y está comprimido mediante PeX.
Bagle.BL crea un mutex con cualquiera de los siguientes nombres, para evitar que dos copias de sí mismo sean ejecutadas al mismo tiempo:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
El nombre de dichos mutex ha sido elegido de modo que Bagle.BL también impide que se ejecuten algunas variantes de Netsky.
>