El nuevo gusano Bagle.A (W32/Bagle.A.worm)


El nuevo gusano Bagle.A (W32/Bagle.A.worm) está comenzando a propagarse. Según los datos recogidos por la red internacional de servicio de Soporte de diefrentes casas de AntiVirus, está provocando cada vez más incidencias entre los equipos de usuarios de todo el mundo.





Se ha detectado en las últimas horas un aumento significativo del número de mensajes infectados con "Bagle", un nuevo gusano que viene con fecha de caducidad, ya que dejará de propagarse el 28 de enero.
El formato del mensaje en el que viaja "Bagle" permite a los usuarios reconocerlo a simple vista, ya que en esta primera versión del gusano (de momento única) utiliza algunos textos fijos:
<<<<<
Asunto: Hi
Cuerpo:
Test =)
[caracteres aleatorios]
- --
Test, yep.

Adjunto: [nombre aleatorio].exe

>>>>>>>>>>

El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, construye su nombre de forma aleatoria, con una longitud que puede variar de 3 a 11 caracteres, y se presenta con el icono de la calculadora de Windows.
Cuando un usuario lo ejecuta, y siempre que la fecha del sistema no sea igual o mayor al 28 de enero de 2004, el gusano ejecuta la calculadora de Windows para que el usuario no sospeche y crea que en realidad se trata de esta utilidad. Sin embargo, sin que el usuario pueda percatarse a simple vista, "Bable" comenzará su rutina de infección y propagación.
En primer lugar se copia en el directorio de sistema de Windows como bbeagle.exe e introduce la siguiente entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
Adicionalmente crea las siguientes entradas:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"

La propagación se realiza a través de su propio motor SMTP, buscando las direcciones a las que autoenviarse en los archivos del sistema con extensión .wab, .txt, .htm y .html. Además, para dificultar la labor de detectar los sistemas infectados desde los que se envía, "Bable" falsea la dirección de remitente.
El gusano lleva en su código una serie de textos, que corresponden a dominios, de forma que evita enviarse a las direcciones que los contengan: @hotmail.com, @msn.com, @microsoft y @avp.
"Bable" también incluye capacidades de backdoor o puerta trasera, ya que abre en los ordenadores infectados el puerto TCP 6777 para permitir el acceso remoto. El gusano incluye en su código una rutina que se conectaba a diferentes sitios para intercambiar datos, si bien todas las páginas PHP a las que hacía referencia han sido anuladas.
La reacción de las diferentes casas antivirus en proporcionar la actualización pertinente a sus usuarios para que pudieran reconocer a "Bagle" fue la siguiente:
Kaspersky el 18/01/2004 a las 15:03:52 como I-Worm.Bagle
NOD32 el 18/01/2004 a las 19:10:16 como Win32/Bagle.A
Sophos el 19/01/2004 a las 03:08:01 como W32/Bagle-A
TrendMicro el 19/01/2004 a las 03:25:55 como WORM_BAGLE.A
McAfee el 19/01/2004 a las 06:48:04 como W32/Bagle@MM
Norton el 19/01/2004 a las 07:24:13 como W32.Beagle.A@mm
Panda el 19/01/2004 a las 09:29:10 como W32/Bagle.A.worm
InoculateIT el 19/01/2004 a las 16:43:48 como Win32/Bagle.A.Worm


Más información:
I-Worm.Bagle
http://www.viruslist.com/eng/viruslist.html?id=789296

Win32/Bagle.A
http://www.nod32.com/msgs/baglea.htm
W32/Bagle-A
http://www.sophos.com/virusinfo/analyses/w32baglea.html
WORM_BAGLE.A
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.A
W32/Bagle@MM
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965
W32.Beagle.A@mm
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html
Bagle.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=43789
Win32.Bagle.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38019
Fuente:
Hispasec
Bernardo Quintero
bernardo@hispasec.com

Otras noticias de interés:

Facebook propone cambios en su política de uso
Con vistas a prepararse para los nuevos servicios que espera introducir en el futuro, Facebook ha propuesto ciertas modificaciones en sus políticas y condiciones de uso, y todos los usuarios podrán hacer los comentarios que consideren oportunos ant...
VALVe portará Source a GNU/Linux
Una noticia que probablemente muchos han deseado alguna vez leer. La migración del motor implica que podremos disfrutar de juegos como Half-Life 2 o Counter-Strike: Source de forma nativa en GNU/Linux....
Software libre para ciudadanos libres - Entrevista con Richard Stallman
En los últimos años, Stallman dejó de ser un líder indiscutido de la democratización de los programas informáticos y se convirtió en un personaje controvertido a causa de sus lapidarias declaraciones, dado que a la hora del disenso con otros m...
Alerta: Exploits para la vulnerabilidad en PDF
Se ha reportado un exploit activo para la vulnerabilidad en archivos PDF que permite la ejecución remota de código a través de la simple visualización de un archivo en ese formato. ...
Los bancos en línea contienen el aliento ante nueva técnica de ”phishing”
Una nueva y sofisticada táctica de ”phishing” sobrescribe la información existente en el disco duro sobre bancos en línea. De esa forma, el usuario puede ser engañado y estafado sin que antes haya hecho clic en un mensaje de correo electróni...
Chrome en Android no soporta Flash
Adobe ha publicado un comunicado en su blog para confirmar que el nuevo navegador Chrome para Android no soporta tecnología Flash. La compañía ha comentado que ya había anunciado que abandonaría el desarrollo de Flash Player para móviles y por ...
Microsoft lanzará siete parches de seguridad el próximo martes
Microsoft incluirá siete parches en su boletín mensual de seguridad del próximo martes. Los parches cubrirán diversas brechas en Windows, Office, Exchange y BizTalk....
Cloud computing: un futuro brillante
En enter.es se publico un documento sobre lo que es cloud computing o computacion en la nube. En este estudio se describe como las empresas pueden aprovechar este concepto o servicio....
Información crítica en discos de segunda mano
Información delicada todavía puede ser encontrada en discos de segunda mano. BT, la Universidad de Glamorgan en Gales y la Universidad Edith Cowan de Australia, publicaron un informe basado en una investigación para determinar si los discos de ...
JustExploit. Un Exploit Kit que explota Java
La industria del crimeware sigue en constante aumento y del mismo modo la comercialización clandestina de aplicaciones web que buscan automatizar los procesos de infección a través de la explotación de vulnerabilidades....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bagle
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • worm
  • xanadu
  • xfce
  • xombra