Un nuevo gusano se propaga por toda la Red

Bagle es un gusano sin efectos destructivos que se propaga a través del correo electrónico con capacidades de puerta trasera que se está propagando por la red a gran velocidad gracias al uso de la llamada “Ingeniería Social.”

Beagle, denominado

W32/Bagle@MM, I-Worm.Bagle, W32.Beagle.A@mm o W32/Bagle-A, es un gusano que se difunde mediante el envio masivo de
correo electrónico
a direcciones que captura de diversos ficheros en la máquina infectada.
Utiliza un truco de ingeniería social muy simple pero efectivo, consistente
en hacerse pasar por un mensaje de prueba con un fichero adjunto que usa
el icono de la calculadora de Windows, lo que parece que hace pensar a las
víctimas
que es inofensivo.

Además de las molestias que causa la rutina de envío masivo de
correo, lo que hace más peligroso a este gusano es su capacidad de puerta
trasera. El gusano se queda residente en la máquina infectada y aguarda
comandos de un usuario remoto no autorizado, que podría obtener control
total del sistema infectado, dependiendo de la configuración del sistema
y de la red.

Por su capacidad de puerta trasera y su facilidad de propagación, ha sido
calificado de alto riesgo por las distintas casas de antivirus y organizaciones
de seguridad informática.

Está programado para dejar de funcionar el día 28 de Enero de 2004.
El gusano obtiene la fecha del PC infectado (que podría ser incorrecta)
y termina su ejecución si ésta es posterior al 28 de Enero.

Propagación vía Correo.

Para propagarse, buscará y capturará direcciones de correo
existentes en ficheros de texto o html del disco duro del sistema infectado.
Intentará evitar
aquellas direcciones de correo que pertenezcan, entre otros, a los dominios hotmail.com
msn.com microsoft .com avp.com. A continuación se propagará
enviando un mensaje a todas las direcciones de correo electrónico recopiladas,
al que adjuntará una copia de
sí mismo. Implementa además un motor SMTP propio para propagarse a los
destinatarios encontrados.

El mensaje enviado tiene las siguientes características:

Asunto: Hi

Texto del mensaje:
Test =) [Caracteres al azar] Test, yep.

Adjunto: xxx .exe (siendo xxx entre
3 y 11 caracteres en minúsculas escogidos al azar)

Rutina de ocultación.

Si su ejecución no se realiza con el nombre de fichero %System%BBEAGLE.EXE,
ejecutará el fichero CALC.EXE (Calculadora de Windows). Mientras, el gusano está ejecutándose en otro proceso, continuando
sus actividades. Si el usuario finaliza el proceso de Calculadora, el gusano
continuará su ejecución como un proceso distinto. En caso de ejecutar
directamente la Calculadora, el gusano fallará en su ejecución.

Capacidad de puerta trasera.

El gusano abre el puerto TCP 6667 y permanece a la espera de conexiones. Esto
podría permitir a un usuario remoto no autorizado ejecutar comandos en
la máquina infectada. Tiene capacidad para descargar archivos y ejecutarlos
en las máquinas infectadas.

Intenta acceder a varias direcciones de Internet, como www.elrasshop.de o
www.kunst-in-templin.de, posiblemente para actualizarse o para notificar
la infección a su creador.

El gusano intentará realizar un escaneo de puertos para conectarse
con el sistema remoto.

Solución

Es posible utilizar, o bien la herramienta de restauración del sistema de
los sistemas operativos MS Windows Xp o bien usar las herramientas de limpieza
que varias casas de antivirus han distribuido gratuitamente:

También es posible limpiar de forma “manual” el gusano eliminando las claves
de registro que crea, así como su ejecutable del sistema, aunque es recomendable
recurrir a las herramientas anteriores por ser el procedimiento más fácil.

Para más información,