El nuevo gusano Bagle.A (W32/Bagle.A.worm)


El nuevo gusano Bagle.A (W32/Bagle.A.worm) está comenzando a propagarse. Según los datos recogidos por la red internacional de servicio de Soporte de diefrentes casas de AntiVirus, está provocando cada vez más incidencias entre los equipos de usuarios de todo el mundo.





Se ha detectado en las últimas horas un aumento significativo del número de mensajes infectados con "Bagle", un nuevo gusano que viene con fecha de caducidad, ya que dejará de propagarse el 28 de enero.
El formato del mensaje en el que viaja "Bagle" permite a los usuarios reconocerlo a simple vista, ya que en esta primera versión del gusano (de momento única) utiliza algunos textos fijos:
<<<<<
Asunto: Hi
Cuerpo:
Test =)
[caracteres aleatorios]
- --
Test, yep.

Adjunto: [nombre aleatorio].exe

>>>>>>>>>>

El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, construye su nombre de forma aleatoria, con una longitud que puede variar de 3 a 11 caracteres, y se presenta con el icono de la calculadora de Windows.
Cuando un usuario lo ejecuta, y siempre que la fecha del sistema no sea igual o mayor al 28 de enero de 2004, el gusano ejecuta la calculadora de Windows para que el usuario no sospeche y crea que en realidad se trata de esta utilidad. Sin embargo, sin que el usuario pueda percatarse a simple vista, "Bable" comenzará su rutina de infección y propagación.
En primer lugar se copia en el directorio de sistema de Windows como bbeagle.exe e introduce la siguiente entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
Adicionalmente crea las siguientes entradas:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"

La propagación se realiza a través de su propio motor SMTP, buscando las direcciones a las que autoenviarse en los archivos del sistema con extensión .wab, .txt, .htm y .html. Además, para dificultar la labor de detectar los sistemas infectados desde los que se envía, "Bable" falsea la dirección de remitente.
El gusano lleva en su código una serie de textos, que corresponden a dominios, de forma que evita enviarse a las direcciones que los contengan: @hotmail.com, @msn.com, @microsoft y @avp.
"Bable" también incluye capacidades de backdoor o puerta trasera, ya que abre en los ordenadores infectados el puerto TCP 6777 para permitir el acceso remoto. El gusano incluye en su código una rutina que se conectaba a diferentes sitios para intercambiar datos, si bien todas las páginas PHP a las que hacía referencia han sido anuladas.
La reacción de las diferentes casas antivirus en proporcionar la actualización pertinente a sus usuarios para que pudieran reconocer a "Bagle" fue la siguiente:
Kaspersky el 18/01/2004 a las 15:03:52 como I-Worm.Bagle
NOD32 el 18/01/2004 a las 19:10:16 como Win32/Bagle.A
Sophos el 19/01/2004 a las 03:08:01 como W32/Bagle-A
TrendMicro el 19/01/2004 a las 03:25:55 como WORM_BAGLE.A
McAfee el 19/01/2004 a las 06:48:04 como W32/Bagle@MM
Norton el 19/01/2004 a las 07:24:13 como W32.Beagle.A@mm
Panda el 19/01/2004 a las 09:29:10 como W32/Bagle.A.worm
InoculateIT el 19/01/2004 a las 16:43:48 como Win32/Bagle.A.Worm


Más información:
I-Worm.Bagle
http://www.viruslist.com/eng/viruslist.html?id=789296

Win32/Bagle.A
http://www.nod32.com/msgs/baglea.htm
W32/Bagle-A
http://www.sophos.com/virusinfo/analyses/w32baglea.html
WORM_BAGLE.A
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.A
W32/Bagle@MM
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965
W32.Beagle.A@mm
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html
Bagle.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=43789
Win32.Bagle.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38019
Fuente:
Hispasec
Bernardo Quintero
bernardo@hispasec.com

Otras noticias de interés:

Antes de colgar tu imagen en la Red, piénsalo bien!
Lee el contenido de esta nota es de suma importancia, y aún cuando esta destinado a España, es válido para cualquier páis. El Defensor del Menor de la Comunidad de Madrid impulsa un anuncio televisivo para evitar un uso indeseado de imágenes de ...
Duqu fue escrito en OOC
El uso de un lenguaje de programación poco utilizado para crear parte del troyano Duqu, una herramienta de espionaje que el año pasado llamó la atención por su parecido con Stuxnet, indica que ha podido ser escrito por programadores de la vieja e...
Nace un consorcio para defender el código abierto
El Open Source Consortium (OSC, Consorcio de Código Abierto) está formado por más de 60 compañías y tiene como objetivo representar objetivamente a estas organizaciones y promover la expansión del código abierto. ...
Seguridad en protocolos de mensajería
Pese al paso de los años y los nuevos conceptos que se van inventando, el chat mediante protocolos de mensajería sigue teniendo una amplia cuota de protagonismo en las actividades online. ...
Troyano para smartphones con Gingerbread
Investigadores de seguridad de la Universidad de Carolina del Norte acaban de descubrir un nuevo troyano para Android. Hablamos de GingerMaster, un troyano que puede ganar permisos root y servir como plataforma de entrada de malware en el terminal in...
Damn Small, la mini-distribución GNU/Linux.
Software y Desarrollo Nueva versión de Damn Small Linux 3.1, una completísima distribución GNU/Linux, superliviana, de tan solo 50MB de peso y especialmente desarrollada para ordenadores de bajo rendimiento....
Se repite la Historia !!! ¿Será un grupo de Hackers o Niños Malcriados?
Esto esta llegando a unos límites inesperados, el mismo grupo que hack a rynho-zero, tambien lo ha hecho con otra Web Amiga hackemate com/com.ar. Deseo recordar a ese grupo que los hackers No destuyen y existen otras formas de expr...
Argentina: libertad y seguridad en internet
El próximo lunes se desarrollará en la Ciudad de Buenos Aires el evento Gobierno de la Web. Cómo construir el futuro con libertad y seguridad en internet. Se trata de un espacio para debatir la compatibilidad de las actuales leyes y el impacto que...
Cross-site scripting en Skype
Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Adem...
Nueva versión Sabayon 5.3
Sabayon Linux (anteriormente conocida como RR4 Linux / RR64 Linux(versión 32 bits/versión 64 bits);3 es una distribución Linux basada en Gentoo, creada y mantenida por Fabio Erculiani (lxnay) y el Equipo de Sabayon4 . ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bagle
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • worm
  • xanadu
  • xfce
  • xombra