El nuevo gusano Bagle.A (W32/Bagle.A.worm)


El nuevo gusano Bagle.A (W32/Bagle.A.worm) está comenzando a propagarse. Según los datos recogidos por la red internacional de servicio de Soporte de diefrentes casas de AntiVirus, está provocando cada vez más incidencias entre los equipos de usuarios de todo el mundo.





Se ha detectado en las últimas horas un aumento significativo del número de mensajes infectados con "Bagle", un nuevo gusano que viene con fecha de caducidad, ya que dejará de propagarse el 28 de enero.
El formato del mensaje en el que viaja "Bagle" permite a los usuarios reconocerlo a simple vista, ya que en esta primera versión del gusano (de momento única) utiliza algunos textos fijos:
<<<<<
Asunto: Hi
Cuerpo:
Test =)
[caracteres aleatorios]
- --
Test, yep.

Adjunto: [nombre aleatorio].exe

>>>>>>>>>>

El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, construye su nombre de forma aleatoria, con una longitud que puede variar de 3 a 11 caracteres, y se presenta con el icono de la calculadora de Windows.
Cuando un usuario lo ejecuta, y siempre que la fecha del sistema no sea igual o mayor al 28 de enero de 2004, el gusano ejecuta la calculadora de Windows para que el usuario no sospeche y crea que en realidad se trata de esta utilidad. Sin embargo, sin que el usuario pueda percatarse a simple vista, "Bable" comenzará su rutina de infección y propagación.
En primer lugar se copia en el directorio de sistema de Windows como bbeagle.exe e introduce la siguiente entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
Adicionalmente crea las siguientes entradas:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"

La propagación se realiza a través de su propio motor SMTP, buscando las direcciones a las que autoenviarse en los archivos del sistema con extensión .wab, .txt, .htm y .html. Además, para dificultar la labor de detectar los sistemas infectados desde los que se envía, "Bable" falsea la dirección de remitente.
El gusano lleva en su código una serie de textos, que corresponden a dominios, de forma que evita enviarse a las direcciones que los contengan: @hotmail.com, @msn.com, @microsoft y @avp.
"Bable" también incluye capacidades de backdoor o puerta trasera, ya que abre en los ordenadores infectados el puerto TCP 6777 para permitir el acceso remoto. El gusano incluye en su código una rutina que se conectaba a diferentes sitios para intercambiar datos, si bien todas las páginas PHP a las que hacía referencia han sido anuladas.
La reacción de las diferentes casas antivirus en proporcionar la actualización pertinente a sus usuarios para que pudieran reconocer a "Bagle" fue la siguiente:
Kaspersky el 18/01/2004 a las 15:03:52 como I-Worm.Bagle
NOD32 el 18/01/2004 a las 19:10:16 como Win32/Bagle.A
Sophos el 19/01/2004 a las 03:08:01 como W32/Bagle-A
TrendMicro el 19/01/2004 a las 03:25:55 como WORM_BAGLE.A
McAfee el 19/01/2004 a las 06:48:04 como W32/Bagle@MM
Norton el 19/01/2004 a las 07:24:13 como W32.Beagle.A@mm
Panda el 19/01/2004 a las 09:29:10 como W32/Bagle.A.worm
InoculateIT el 19/01/2004 a las 16:43:48 como Win32/Bagle.A.Worm


Más información:
I-Worm.Bagle
http://www.viruslist.com/eng/viruslist.html?id=789296

Win32/Bagle.A
http://www.nod32.com/msgs/baglea.htm
W32/Bagle-A
http://www.sophos.com/virusinfo/analyses/w32baglea.html
WORM_BAGLE.A
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.A
W32/Bagle@MM
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965
W32.Beagle.A@mm
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html
Bagle.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=43789
Win32.Bagle.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38019
Fuente:
Hispasec
Bernardo Quintero
bernardo@hispasec.com

Otras noticias de interés:

Adobe lanza AIR 2
Luego de lanzar la versión 10.1 de Flash Adobe presentó la segunda versión de AIR, su propia plataforma de aplicaciones web para el escritorio del computador u otros dispositivos compatibles....
Vulnerabilidad en WebEasymail v.3.4.2.2
WebEasymail se puede ver afectado por un problema de denegación de servicio y por una debilidad que facilita los ataques por fuerza bruta. Sí un atacante envía una cadena de la familia printf especialmente creada, puede conseguir la...
El cifrado de datos comienza ha hacerse un hueco en la empresa
Según un estudio llevado a cabo por la empresa B2B para Kaspersky Labs en Julio de 2012 a nivel mundial, el cifrado de datos comienza ha hacerse un hueco en la empresa....
Hackers atacan herramientas forenses
De acuerdo a los expertos, los criminales están aumentando el uso de tecnología anti-forense agresiva para asegurarse que su persecución sea imposible....
GOBIERNO VENEZOLANO DECRETARÁ USO DEL SOFTWARE LIBRE PARA LA ADMINISTRACIÓN PÚBLICA
El presidente de la República de Venezuela, anunció que el Gobierno emitirá un decreto mediante el cual se establecerá la utilización de software libre para todas los organismos y dependencias de la administración pública....
Vulnerabilidad en la librería FLAC afecta al reproductor Winamp
Se ha identificado una vulnerabilidad en la librería FLAC (Free Lossless Audio Codec) que puede ser aprovechada por atacantes remotos para hacerse con un sistema vulnerable. Afecta a numerosos programas que utilizan la librería para reproducir soni...
Nuevo fallo en los parches ya revisados de Microsof
Microsoft se ha visto obligada a publicar una tercera versión de los últimos parches de seguridad al detectarse problemas durante algunas instalaciones. Tal y como hemos venido informando en Hispasec, el 15 de octubre Microsoft publi...
Los crackers MD5 más rápidos
Enlazan en Darknet una interesante estadística sobre la velocidad de ciertos productos a la hora de romper hashes MD5 por medio de fuerza bruta....
Yahoo! revela las direcciones de sus usuarios
Este fin de semana, hizo su aparición un nuevo gusano, con una característica novedosa que nos sorprendió, aunque el gusano en si mismo no tiene nada de sorprendente....
Adobe Reader X ya está disponible
Ya es posible descargar Adobe Reader X, uno de los componentes de Acrobat X Suite, compuesta a su vez por otros tres productos más: Adobe Acrobat Suite, Acrobat Pro y Acrobat Standard....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bagle
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • worm
  • xanadu
  • xfce
  • xombra