Bagle.AA

Bagle.AA realiza las siguientes acciones:

• Intenta conectarse a través del puerto 2535 a varias páginas web que albergan un script PHP. De este modo, notifica a su autor que el ordenador ha sido afectado:
  
  http://250x.com/5.php
  http://2udar.ligakvn.de/5.php
  http://3treepoint.com/5.php
  http://abakan.strana.de/5.php
  http://andimeisslein.de/5.php
  http://ditec.um.es/5.php
  http://fotos.schneider.bards.de/5.php
  http://hardvision.ru/5.php
  http://jakimov.golos.de/5.php
  http://markusgimenez.de/5.php
  http://s318.evanzo-server.de/5.php
  http://Spaceclub.de/5.php
  http://tobimayer.de/5.php
  http://vg.xtonne.de/5.php
  http://vg.xtonne.de/5.php
  http://villakinderbunt.de/5.php
  http://virtualzone.de/5.php
  http://www.ac-schnitzer.de/5.php
  http://www.auma.de/5.php
  http://www.autoscout24.de/5.php
  http://www.avh.de/5.php
  http://www.beckers-systems.de/5.php
  http://www.berlinale.de/5.php
  http://www.blauer-engel.de/5.php
  http://www.bmbf.de/5.php
  http://www.bruecke-osteuropa.de/5.php
  http://www.bundesregierung.de/5.php
  http://www.chugai.de/5.php
  http://www.cicv.fr/5.php
  http://www.dalnoboyshik.de/5.php
  http://www.de-bug.de/5.php
  http://www.degruyter.de/5.php
  http://www.deutsch-als-fremdsprache.de/5.php
  http://www.deutsches-museum.de/5.php
  http://www.deutschland.de/5.php
  http://www.dfg.de/5.php
  http://www.documenta.de/5.php
  http://www.dwd.de/5.php
  http://www.embl-heidelberg.de/5.php
  http://www.emis.de/5.php
  http://www.eumetsat.de/5.php
  http://www.exactaudiocopy.de/5.php
  http://www.fernuni-hagen.de/5.php
  http://www.fiz-karlsruhe.de/5.php
  http://www.fracht-24.de/5.php
  http://www.fu-berlin.de/5.php
  http://www.gdch.de/5.php
  http://www.go-amman.de/5.php
  http://www.goethe.de/5.php
  http://www.gospel-nations.de/5.php
  http://www.gsi.de/5.php
  http://www.hamann-motorsport.de/5.php
  http://www.hamburg.de/5.php
  http://www.heise.de/5.php
  http://www.hotel-pension-spree.de/5.php
  http://www.ifdesign.de/5.php
  http://www.insel-ruegen-hotel.de/5.php
  http://www.intermatgmbh.de/5.php
  http://www.jura.uni-sb.de/5.php
  http://www.kliniken.de/5.php
  http://www.leipziger-messe.de/5.php
  http://www.loveparade.de/5.php
  http://www.low-spirit.de/5.php
  http://www.mdz-moskau.de/5.php
  http://www.mitsubishi-evs.de/5.php
  http://www.mitsumi.de/5.php
  http://www.mk-motorsport.de/5.php
  http://www.mobile.de/5.php
  http://www.nabu.de/5.php
  http://www.neformal.de/5.php
  http://www.neznakomez.de/5.php
  http://www.paromi.de/5.php
  http://www.partner-inform.de/5.php
  http://www.php-resource.de/5.php
  http://www.pri-wo-hamburg.de/5.php
  http://www.red-dot.de/5.php
  http://www.restarted-alliance.de/5.php
  http://www.ruletka.de/5.php
  http://www.russische-botschaft.de/5.php
  http://www.siegenia-aubi.com/5.php
  http://www.spiegel.de/5.php
  http://www.sprach-zertifikat.de/5.php
  http://www.teac.de/5.php
  http://www.tecchannel.de/5.php
  http://www.tekeli.de/5.php
  http://www.tib.uni-hannover.de/5.php
  http://www.turism.de/5.php
  http://www.uni-oldenburg.de/5.php
  http://www.uni-stuttgart.de/5.php
  http://www.welt.de/5.php
  http://www.windac.de/5.php
  http://www.winfuture.de/5.php
  http://www.www.mirko-becker.gmxhome.de/5.php
  
• Termina los siguientes procesos, si se encuentran activos:
  
  AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.exe, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, GUARDDOG.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSPYHUNTER-1.2.EXE, NETSTAT.EXE, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE,NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, REGEDIT.EXE, REGEDT32.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SH.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE,TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, ZONALM2601.EXE y ZONEALARM.EXE.
  
  Estos procesos pertenecen a programas antivirus y cortafuegos, entre otrasaplicaciones de seguridad, así como a diversos gusanos.
• Muestra en pantalla el siguiente falso mensaje de error cuando es ejecutado:
  
  

Bagle.AA crea los siguientes archivos en el directorio de sistema de Windows:

• DRVSYS.EXE y DRVSYS.EXEOPEN. Estos archivos son copias del gusano.
• DRVSYS.EXEOPENOPEN. Este archivo, que tiene formato HTML, crea y ejecuta una copia del gusano en el ordenador afectado.

Bagle.AA crea la siguiente entrada en el Registro de Windows:

• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  drvsys.exe = %sysdir%\ drvsys.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Bagle.AA consigue ejecutarse cada vez que Windows se inicia.

Bagle.AA se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través de correo electrónico.

Bagle.AA realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje escrito en inglés. Estos mensajes poseen características variables, y se componen conforme a dos posibles formatos:
  
  Formato 1:
  
  Remitente:
  Bagle.AA falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
  
  Asunto: uno de los siguientes:
  Encrypted document
  Fax Message Received
  Forum notify
  Hidden message
  Incoming message
  Protected message
  Re: Document
  Re: Hello
  Re: Hi
  Re: Incoming Fax
  Re: Incoming Message
  Re: Msg reply
  RE: Protected message
  RE: Text message
  Re: Thank you!
  Re: Thanks :)
  Re: Yahoo!
  Request response
  Site changes
  
  Contenido: puede estar vacío, o ser uno de los siguientes:
  Attached file tells everything.
  Attached file will tell you everything.
  For details see the attach.
  For more information see the attached file.
  Further details are in attach.
  Here is the file.
  Message is in attach
  More info is in attach
  Please, have a look at the attached file.
  Read the attach.
  See attach.
  See the attached file for details.
  Your file is attached.
  
  Además, si el archivo adjunto tiene extensión ZIP, estará protegido mediante una contraseña, y el mensaje incluirá uno de los siguientes textos:
  Archive password: %clave%
  Attached file is protected with the password for security reasons. Password is %clave%
  For security purposes the attached file is password protected. Password -- %clave%
  For security reasons attached file is password protected. The password is %clave%
  In order to read the attach you have to use the following password: %clave%
  Note: Use password %clave% to open archive.
  Password - %clave%
  Password: %clave%
  donde %clave% representa un archivo de imagen con extensión BMP, que contiene la contraseña necesaria para descomprimir el archivo adjunto.
  Por ejemplo, esta imagen podría ser:
  
  
  Archivo adjunto: tiene un nombre y extensión variables:
  Posibles nombres: DETAILS, DOCUMENT, INFO, INFORMATION, MESSAGE, MOREINFO, README.
  Posibles extensiones: COM, CPL, EXE, HTA, SCR, VBS, ZIP.
  En el caso de que la extensión del archivo adjunto sea ZIP, éste contendrá, además de una copia del gusano con nombre aleatorio, otro archivo con otro nombre aleatorio y una de las siguientes extensiones: BAT, DLL, DOC, TXT, VXD. Este archivo contendrá caracteres aleatorios.
  
  
  Formato 2:
  
  Remitente:
  Bagle.AA falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Para ello, recoge direcciones de correo del ordenador afectado, y sustituye el nombre real por alguno de los siguientes: ann, annie, christina, christy, jessie, lizie, secretGurl.
  Ejemplo: si una de las direcciones recogidas es user@email.com, la dirección falsificada podría ser ann@email.com, annie@email.com, etc.
  
  Asunto: uno de los siguientes:
  Hello!
  Hey!
  I just need a friend
  I like you
  I'm a sad girl...
  I'm bored with this life
  Let's socialize, my friend!
  Let's talk, my friend!
  Notify from a known person ;-)
  
  Contenido: se compone de cinco partes:
  (1) Saludo: uno de los siguientes:
  %destinatario%,
  Dear %destinatario%,
  Dear %destinatario%,
  Hello %destinatario%,
  Hello,
  Hey %destinatario%,
  Hey %destinatario%,
  Hey,
  Hi
  Hi %destinatario%,
  Hi,
  It's me
  It's me ;-)
  It's me ->
  donde %destinatario% es el nombre del destinatario en la dirección de correo electrónico, que precede al carácter @.
  
  (2) Fotografía: incluye una fotografía, dentro de un fichero con extensión JPEG y uno de los siguientes nombres: IMAGE12, ME2, ME3, MYPHOTO4, MYPHOTO7, PHOTO. Algunas de estas imágenes son:
  
        
  
  (3) Cuerpo: uno de los siguientes textos:
  Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love!
  
  Don't you remember me?
  
  I am abeautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man...
  
  I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats.
  
  I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs.
  
  i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny.
  
  I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park .
  
  I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure.
  
  I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me
  
  I have recently got demobilize from army and also I am going to act in a higher educational institution
  
  I just want to talk with someone...
  
  I like an active life... and interesting people...
  
  I like reading the books and socializing, let me talk with you...
  
  I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever.
  
  I Like You!
  
  I love productive leisure, to travel, communicate with friends.
  
  I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love.
  
  I need a friend...
  
  I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire.
  
  I very much love new acquaintances, I love music, meetings with friends. Igo on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue...
  
  I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going.
  
  I'm a young lady of 20 years old i'd like to find my second part!!!
  
  I'm so bored, let me talk with you...
  
  It's time to find a friend!
  
  Kewl :-)
  
  Like me, odore me! ;-)
  
  Ready to accept a new friend? :-)
  
  Searching for the right person,for real man, who will really cares and love me.
  
  You are cool :-)
  
  You are my prince :-)
  
  (4) Referencia al fichero adjunto: uno de los siguientes textos:
  Attached file tells everything.
  Attached file will tell you everything.
  For detailssee the attach.
  For more information see the attached file.
  Further details are in attach.
  
  (5) Despedida: uno de los siguientes:
  Best wishes, %remitente%
  Cheers, %remitente%
  Have a good day, %remitente%
  Kind regards, %remitente%
  Sincerely, %remitente%
  Yours, %remitente%
  donde %remitente% es el nombre del destinatario del correo electrónico, que precede al carácter @.
  
  Archivo adjunto: tiene un nombre y extensión variables:
  Posibles nombres: DETAILS, DOCUMENT, INFO, INFORMATION, MESSAGE, MOREINFO, README.
  Posibles extensiones: COM, CPL, EXE, HTA, SCR, VBS, ZIP.
  El icono de este archivo consistirá en tres cerezas.
  
  
• El ordenador es afectado cuando el archivo adjunto es ejecutado.
• Bagle.AA busca direcciones de correo electrónico en archivo que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
  Estos archivos los busca en todas las unidades del sistema, excepto en disqueteras, unidades de CD-ROM y otras unidades extraíbles.
• Bagle.AA se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
• Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
  @avp., @foo, @hotmail, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar y winzip.

2.- Propagación a través de programas de intercambio de ficheros.

Bagle.AA realiza el siguiente proceso:

• Crea copias de sí mismo en directorios que contengan la cadena de texto shar. Utiliza los siguientes nombres de archivo:
  ACDSee 9.exe
  Adobe Photoshop 9 full.exe
  Ahead Nero 7.exe
  Kaspersky Antivirus 5.0
  KAV 5.0
  Matrix 3 Revolution English Subtitles.exe
  Microsoft Office 2003 Crack, Working!.exe
  Microsoft Office XP working Crack, Keygen.exe
  Microsoft Windows XP, WinXP Crack, working Keygen.exe
  Opera 8 New!.exe
  Porno pics arhive, xxx.exe
  Porno Screensaver.scr
  Porno, sex, oral, anal cool, awesome!!.exe
  Serials.txt.exe
  WinAmp 5 Pro Keygen Crack Update.exe
  WinAmp 6 New!.exe
  Windown Longhorn Beta Leak.exe
  Windows Sourcecode update.doc.exe
  XXX hardcore images.exe
  
• De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos.
• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.AA, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.AA.

Bagle.AA está escrito en el lenguaje de programación Visual C. Este gusano tiene un tamaño de 39099 Bytes y se encuentra comprimido mediante UPX.