Downloader-BAI


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Nuevo troyano downloader que se está enviando masivamente vía spam con falsas noticias de sucesos mundiales. Publicación extraordinaria de McAfee de DATS 4944.

Nombre de virus: Downloader-BAI!M711
Alias: Nuwar.Q, Win32/Nuwar.N@mm,Trojan-Downloader.Win32.Small.dam
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico (spam).
Activación: por ejecución de fichero adjunto
Detección: desde DAT 4944
Motor necesario: desde 5100
Infección actual: Inicial (Inicial, Media, Elevada)

A partir de este pasado fin de semana se ha detectado el envío masivo (vía spam) de un nuevo troyano, que utiliza diferentes textos en el asunto del mensaje para incitar al destinatario del email a abrir el fichero adjunto.

Características

Downloader-BAI se propaga actualmente como spam utilizando los siguientes formatos de correo electrónico. En general los mensajes se presentan en dos categorías.

Un asunto relativo a la noticia de un suceso mundial polémico y un fichero adjunto que pretende proporcionar más información .
Un asunto de amor romántico o pasión, y un adjunto que pretende ser un saludo.

Asunto del mensaje (uno de los siguientes) :

- U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
- Naked teens attack home director
- A killer at 11, he''s free at 21 and kill again!
- British Muslims Genocide
- 230 dead as storm batters Europe.
- Radical Muslim drinking enemies' blood.
- Sadam Hussein alive!
- Russian missle shot down USA satellite
- Russian missle shot down USA aircraft
- Russian missle shot down Chinese aircraft
- Sadam Hussein safe and sound!
- The commander of a U.S. nuclear submarine lunch the rocket by mistake.
- Hugo Chavez dead.
- Fidel Castro dead.
- The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
- U.S. Southwest braces for another winter blast. More then 1000 people are dead.
- Venezuelan leader: "Let''s the War Begin".
- We Are Different
- I Love You Soo Much
- I Still Love You
- You + Me
- Passionate Kiss
- Kisses, Hugs & Roses

Fichero adjunto (uno de los siguientes) :

- Read More.exe
- Full Clip.exe
- Full Story.exe
- Full Video.exe
- Video.exe
- Flash Postcard.exe
- Greeting Card.exe
- Greeting Postcard.exe
- Postcard.exe

Síntomas de infección

Por ahora se han realizado diversos envíos de spam de este troyano. Las variantes mas nuevas también generan un virus W32/Nuwar@MM y los siguientes ficheros.

% SystemDir %\wincom32.ini

Cuando se ejecuta, Downloader-BAI genera los siguientes dos ficheros :

%SystemDir%\peers.ini (5483 bytes)
% SystemDir %\wincom32.sys (41728 bytes) Detectado como Generic Downloader.ab

También crea las siguientes entradas de registro:

Hkey_Local_Machine\System\CurrentControlSet\Services\Wincom32\
Imagepath="\??\%SYSTEMDIR%\wincom32.sys"
Hkey_Local_Machine\System\CurrentControlSet\Services\Wincom32\
displayname="wincom32"
Hkey_Local_Machine\System\CurrentControlSet\Services\Wincom32\
start="2"

A continuación descarga "Game0.exe" (detectado como Downloader-ZQ.a con los DAT4943 o posteriores) en %SystemDir%

Detección y eliminación

Debido a la alta propagación que está teniendo Downloader-BAI, se recomienda máxima atención a todos los usuarios a la hora de abrir cualquier adjunto a un mensaje de correo electrónico. Asimismo, si no se dispone de DATS 4944 o superiores conviene actualizarlos a la mayor brevedad posible.

Actualmente el troyano Downloader-BAI se controla desde los DAT 4944.

SATINFO, VIRUSCAN SPAIN SERVICE 22 de Enero de 2007