W32/Bagle.DK@mm, I.worm.Bagle.DI-WA@mm, W32/Lodear.A@mm

Bagle.DK es un gusano de Correo residente en memoria reportado el 02 de Noviembre del 2005 que se propaga en mensajes con un archivo de nombre aleatorio, con extensión .ZIP y que al desempaquetarse libera el archivo LOADER.EXE, el cual libera un DLL que se inserta en el ejecutable del programa EXPLORER de Windows. Hace uso de su propio servidor SMTP (Simple Mail Transfer Protocol) y con su propia codificación MIME (Multipurpose Internet Mail Extensions) construirá el mensaje en memoria y enviará a todas las direcciones que encuentre en el sistema infectado.

Un componente del gusano intenta descargar a través del puerto TCP 80 desde diversas direcciones en la web un archivo infectado (actualmente removido de los mismos).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 9.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El mensaje tiene las siguientes características: 

Remitente: emplea los buzones extraidos o falsas direcciones bajo la técnica Spoofing.
Asunto: ID [aleatorio]
Contenido: [aleatorio]

Anexado, uno de dos:

• Health_and_knowledge.zip
• max.zip
• The_new_prices.zip
• Info_Prices.zip
• text_sms.zip
• Business.zip
• Business_dealing.zip
• [nombre_aleatorio].zip

NOTA: los Asuntos y Contenidos aleatorios son construídos en memoria por el gusano tomando cualquiera de los mensajes encontrados en los previamente infectados.

El gusano usa su propio servidor SMTP (Simple Mail Transfer Protocol)  con su propia codificación MIME (Multipurpose Internet Mail Extensions) que construirá el mensaje en memoria y enviará a todas las direcciones que encuentre en el sistema infectado.

Al activase el archivo y se desempaqueta y copia a la carpeta %System% con los nombres;

• hleader_dll.dll
• hloader_exe.exe

y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto__hloader__key" = "%System%\hloader_exe.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"auto__hloader__key" = "%System%\hloader_exe.exe"

Al siguiente inicio del equipo el gusano libera el archivo hleader_dll.dll de 5.5 KB de extesión el cual copia a carpeta %System% e inserta en el  programa EXPLORER.EXE cuando este sea procesado.

Crea el directorio %Windir% la carpeta exefld en la cual almacenará los archivos ejecutables que intentará descragar.

cuando el usuario establezca una conexión a Internet el gusano intentará descargar el archivo w.php desde cualquiera de estos URL:

• www.aro-tec.com
• sarancha.ru
• home.1000km.ru
• www.stanislawkowalczyk.netstrefa.com
• 1st-new-orleans-hotels.com
• www.OTT-INSIDE.de
• lifejacks.de
• 25kadr.org
• africa-tours.de
• wunderlampe.com
• charlies-truckerpage.de
• template.nease.net
• s89.tku.edu.tw
• phrmg.org
• www.etwas-mode.de
• www.rewardst.com
• 757555.ru
• www.8ingatlan.hu
• oklens.co.jp
• www.a2zhostings.com
• www.abavitis.hu
• abtechsafety.com
• acentrum.pl
• www.adamant-np.ru
• furdoszoba.info
• adavenue.net
• ccooaytomadrid.org
• abtechsafety.com
• av2026.comex.ru
• 80.146.233.41
• www.barth.serwery.pl
• www.leap.co.il
• virt33.kei.pl
• www.bmswijndepot.com
• 209.126.128.203
• www.timecontrol.com.pl
• adoptionscanada.ca
• 65.108.195.73
• tkdami.net
• www.ubu.pl
• adventecgroup.com
• sacafterdark.net
• agenciaspublicidadinternet.com
• www.agroturystyka.artneo.pl
• kepter.kz
• ahava.cafe24.com
• mijusungdo.net
• aibsnlea.org
• aikidan.com
• 202.44.52.38
• drinkwater.ru
• ala-bg.net
• allinfo.com.au
• eleceltek.com
• alevibirligi.ch
• alfaclassic.sk
• allanconi.it
• www.americarising.com
• americasenergyco.com
• amerykaameryka.com
• amistra.com
• analisisyconsultoria.com
• calamarco.com

después de este proceso el gusano se borrará así mismo.