w32/beagle.b
w32/beagle.b , w32.alua@mm, w32/tanx.a-mm, w32/yourid.a.worm , bagle.b, win32.hllm.strato.16896
tipo: gusano
tama?o: 11,264 bytes (comprimido con upx)
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6, registro de virus al v00093 (17/02/2004)
w32/bagle.b es un gusano que se difunde a trav?s de envio masivos de e-mails, busca direcciones de e-mail dentro de todos los archivos que tengan las siguientes extensiones .txt, .htm, .html, y .wab , se env?a a si mismo utilizando su propio motor smtp. ignora direcciones de e-mail que est?n conformadas por las siguientes cadenas de texto:
@hotmail.com
@msn.com
@microsoft
@avp
caracter?sticas del mensaje de e-mail:
asunto: id [caracteres aleatorios] ... thanks
cuerpo:
yours
[caracteres aleatorios]
--
thanks
archivo adjunto: [nombre aleatorio].exe
------------------------------
el archivo del gusano tiene asociado el icono de un archivo de sonido para tratar de enga?ar al usuario.
al ejecutar el archivo infectado, el gusano:
- abre la gabradora de sonidos microsoft (ejecuta sndrec32.exe)
- s eguidamente se copia a si mismo como:
system \au .exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
- crea una entrada en el registro del sistema para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\run
au .exe= system \au .exe
- crea una llave para reconocer si la computadora est? infectada o no.
hkey_current_user\software\windows2000
- intenta accesar a los siguientes sitios web, posiblemente buscando una actualizaci?n nueva del gusano:
http://www.47df.de http://www.strato.de http://intern.games-ring.de http://www.strato.de - adem?s el gusano abre el puerto tcp 8866 en el computador atacado y queda a la espera de ordenes remotas del atacante.
finalmente verifica si la fecha del sistema es 25 de febrero de 2004 o posterior, si es as? el gusano finalizar? su ejecuci?n.