Bagle.BL tiene como fecha límite de activación el 25 de abril de 2006; después de esta fecha, finalizará automáticamente su ejecución cuando sea activado. Hasta entonces, realizará las siguientes acciones, únicamente en ordenadores con Windows XP/2000/NT:
Finaliza los siguientes procesos, si se encuentran activos en memoria:
Algunos de estos procesos pertenecen a determinadas herramientas de seguridad, como por ejemplo varios programas antivirus y cortafuegos, lo que deja al ordenador afectado vulnerable frente al ataque de otro malware. Por el contrario, otros procesos de dicha lista pertenecen a diverso malware.
Se conecta a diversas páginas web para descargar un falso archivo JPG, que será guardado en el directorio de sistema de Windows como RE_FILE.EXE:
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run sysformat = %sysdir%\ sysformat.exe donde %sysdir% es el directorio de sistema de Windows. Mediante esta entrada, Bagle.BL consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Params riga Bagle.BL utiliza esta entrada como marca de infección, para comprobar si el ordenador ya ha sido afectado.
Bagle.BL borra las siguientes entradas del Registro de Windows, si existen:
Borra de las siguientes rutas:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
las entradas con alguno de los siguientes nombres: My AV ICQ Net De este modo, evita que algunas variantes del gusano Netsky puedan ser ejecutadas automáticamente cada vez que Windows se inicie.
Método de Propagación:
Bagle.BL se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).
1.- Propagación a través de correo electrónico.
Bagle.BL realiza el siguiente proceso:
Llega al ordenador afectado en un mensaje de características variables escrito en inglés:
Remitente: Bagle.BL falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.
Asunto: uno de los siguientes: Delivery by mail Delivery service mail Is delivered mail Registration is accepted You are made active
Contenido: puede ser uno de los siguientes textos: Before use read the help Thanks for use of our software.
Archivo adjunto: tiene un nombre y extensión variables: Posibles nombres: JOL03, GUUPD02, SIUPD02, UPD02, VIUPD02, WSD01, ZUPD02. Posibles extensiones: COM, CPL, EXE, SCR. El icono de este archivo adjunto es tomado aleatoriamente del ordenador que ha mandado el mensaje de correo.
El ordenador es afectado cuando el archivo adjunto es ejecutado.
Bagle.BL busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX,MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS y XML.
Bagle.BL se envía a sí mismo a todas las direcciones de correo que ha recogido, empleando para ello su propio motor SMTP.
Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto: @avp., @foo, @iana, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar, winzip.
2.- Propagación a través de programas de intercambio de archivos.
Bagle.BL realiza el siguiente proceso:
Crea copias de sí mismo en todos los directorios cuyo nombre contenga la cadena de texto shar. De este modo, intenta copiarse en los directorios compartidos de programas P2P.
Para ello, utiliza los siguientes nombres de archivo: 1.exe 2.exe 3.exe 4.exe 5.scr 6.exe 7.exe 8.exe 9.exe 10.exe ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Matrix 3 Revolution English Subtitles.exe Opera 8 New!.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe XXX hardcore images.exe
Otros usuarios de estos programas podrán acceder de manera remota a los directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Bagle.BL, pensando que se trata de aplicaciones informáticas interesantes, películas, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Bagle.BL.
Otros Detalles:
Bagle.BL tiene un tamaño de 18704 Bytes, y está comprimido mediante PeX.
Bagle.BL crea un mutex con cualquiera de los siguientes nombres, para evitar que dos copias de sí mismo sean ejecutadas al mismo tiempo:
El nombre de dichos mutex ha sido elegido de modo que Bagle.BL también impide que se ejecuten algunas variantes de Netsky.
Para conseguir la mayor seguridad y protección
en tu ordenador, aprende a reconocer el virus W32/Bagle.BL.worm , del tipo Gusano, con la "Enciclopedia de virus" de HispaVista
AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.
Y no pierdas de vista los últimos virus aparecidos:
Baja
Medio
Para conseguir la mayor seguridad y protección
en tu ordenador, aprende a reconocer el virus W32/Bagle.BL.worm , del tipo Gusano, con la "Enciclopedia de virus" de HispaVista
AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.
