1. /
  2. Security Response/
  3. W32.Beagle.M@mm
  4. W32.Beagle.M@mm

W32.Beagle.M@mm

Nivel de riesgo2: Bajo

Detectado:
13 de Marzo de 2004
Actualizado:
13 de Febrero de 2007 12:22:26 PM
También conocido como:
Win32.Bagle.N [Computer Associ, Bagle.N [F-Secure], W32/Bagle.n@MM [McAfee], W32/Bagle.N [Panda], W32/Bagle-N [Sophos], PE_BAGLE.N [Trend Micro], I-Worm.Bagle.n [Kaspersky]
Tipo:
Worm
Longitud de la infección:
variesapproximately 21kb-22kb
Sistemas afectados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


W32.Beagle.M@mm es un gusano polimórfico que genera envíos masivos de correos electrónicos y utiliza su propio motor SMTP para su propagación por correo electrónico. Al igual que las variantes anteriores abre un backdoor (el cual escucha en el puerto 2556 de TCP), además trata de dispersarse a través de los recursos compartidos de las red al copiarse en las carpetas que contienen los caracteres "shar" en su nombre. W32.Beagle.M@mm infecta archivos con extensiones .EXE.

El correo electrónico tiene las siguientes características:

De: Aparenta haber sido enviado de direcciones de alguno de los siguientes dominios:
  • management
  • administration
  • staff
  • noreply
  • support

Asunto: Uno de los siguientes:
  • Account notify
  • E-mail account disabling warning.
  • E-mail account security warning.
  • E-mail technical support message.
  • E-mail technical support warning.
  • E-mail warning
  • Email account utilization warning.
  • Email report
  • Encrypted document
  • Fax Message Received
  • Forum notify
  • Hidden message
  • Important notify
  • Important notify about your e-mail account.
  • Incoming message
  • Notify about using the e-mail account.
  • Notify about your e-mail account utilization.
  • Notify from e-mail technical support.
  • Protected message
  • RE: Protected message
  • RE: Text message
  • Re: Document
  • Re: Hello
  • Re: Hi
  • Re: Incoming Fax
  • Re: Incoming Message
  • Re: Msg reply
  • Re: Thank you!
  • Re: Thanks :)
  • Re: Yahoo!
  • Request response
  • Site changes

Archivo adjunto: Un archivo con extensión .exe y nombre aleatorio, se almacena en un archivo .zip, .rar o .pif. Los archivos .zip y .rar pueden tener una protección con contraseña. El nombre del archivo, no la extensión, es uno de los siguientes:
  • Attach
  • Details
  • Document
  • Encrypted
  • Gift
  • Info
  • Information
  • Message
  • MoreInfo
  • Readme
  • Text
  • TextDocument
  • details
  • first_part
  • pub_document
  • text_document



Nota:
  • Los productos Symantec para consumidor que soportan la función Bloqueo de gusanos detectan automáticamente esta amenaza al momento que intenta acceder al equipo.
  • No existe un MD5 estático para esta amenaza.
  • Las definiciones de virus 60314i (la versión extendida creadas el 14 de marzo del 2004) se liberaron para proporcionar una mejor reparación y detección de los archivos protegidos con contraseña y de extensión .rar.
  • Symantec Security Response ha desarrollado una herramienta para limpiar las infecciones causadas por W32.Beagle.M@mm.






Octubre 27 del 2004: Se bajo el nivel de categoría de 3 a 2 con base al incremento en los envíos.
  • Marzo 14 del 2004:
    • Se agregó liga electrónica de la herramienta de eliminación.
    • Se elevó el nivel de categoría de 2 a 3 con base al incremento en los envíos.

Fechas de protección antivirus

  • Versión inicial de Rapid Release13 de Marzo de 2004
  • Última versión de Rapid Release13 de Marzo de 2004
  • Versión inicial de Daily Certified13 de Marzo de 2004
  • Última versión de Daily Certified17 de Enero de 2008 revisión033
  • Fecha de lanzamiento inicial de Weekly Certified13 de Marzo de 2004
Haga clic aquí para obtener una descripción detallada de las definiciones de virus de Rapid Release y Daily Certified.

Evaluación de las amenazas

Invasión

  • Nivel de invasión:Medium
  • Número de infecciones:More than 1000
  • Número de sitios:More than 10
  • Distribución geográfica:Medium
  • Contención de la amenaza:Easy
  • Eliminación:Moderate

Daño

  • Nivel del daño:Medium
  • Envío de mensajes a gran escala:Envía correos a todos los contactos que pueda encontrar en archivos con extensiones: .wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi
  • Modifica archivos:Busca las unidades de disco duro y trata de infectar los archivos con extensiones EXE.
  • Pone en peligro la configuración de seguridad:Permite el acceso remoto no autorizado. Finaliza procesos de algunos programas de seguridad.

Distribución

  • Nivel de distribución:High
  • Asunto del mensaje:varios
  • Nombre del adjunto:Diversos con archivos con extensiones .pif, .zip, o .rar
  • Tamaño del adjunto:aproximadamente 22kb
  • Puertos:escucha en el puerto TCP 2556
Artículo de:Heather Shannon