En la nueva variante de BAGLE se aprecian una serie de
diferencias con respecto a sus predecesores, entre las que destaca el ser un
virus de infección de archivos que estrena un método de propagación: además de
que en algunos casos presenta un archivo adjunto en el correo electrónico que lo
transporta, en otros lo hace a través de una página Web, aprovechando una
vulnerabilidad de Internet Explorer de Microsoft conocida como Object Tag in
Popup Window, (etiquetado de objetos en ventanas emergentes) reportado y
corregido por Microsoft desde Octubre del 2003.
Para mayores detalles sobre esta vulnerabilidad visite la siguiente liga: http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx
PE_BAGLE.Q es un código malicioso no destructivo, que posee múltiples funciones,
desde el envío masivo de correo electrónico, infección de archivos de la
computadora infectada, capacidades de puerta trasera, terminación de procesos de
programas de seguridad y propagación a través de programas para compartir
archivos.
Detalles:
Para infectar una computadora, esta versión de Bagle posee dos procedimientos
alternativos: el tradicional de adjuntar un archivo infectado en los mensajes de
correo electrónico que genera, y un segundo que es el de crear mensajes en
formato de hipertexto que contienen una dirección URL desde donde se descarga en
la computadora un archivo en el mismo lenguaje (HTML), detectado por los
productos de Trend Micro como HTML_BAGLE.Q. A su vez, este archivo descarga de
un sitio Web un script de Visual Basic (VBS) llamado Q.VBS y lo deposita en la
carpeta del sistema de Windows. Este script conecta la computadora infectada con
un sitio remoto para descargar desde ahí el archivo que contiene el código de
PE_BAGLE.Q, además de otro archivo que posee un nombre aleatorio, normalmente
con extensión .JPG. Este archivo es guardado en ese directorio con el nombre
SM.EXE (detectado como PE_BAGLE.Q-O).
En ese momento, el sistema infectado se comporta como
anfitrión del archivo infectado y es utilizado para descargar desde ahí el virus
en otras computadoras. Para ello, modifica el registro y asegura su ejecución en
cada inicio del sistema. Al infectar una computadora, deposita en el directorio
del sistema de Windows los siguientes archivos.
Las características de desactivación de programas antivirus, de propagación a
través de programas para compartir archivos y su rutina para evitar enviarse a
direcciones relacionadas con sitios de seguridad informática son idénticas a las
de versiones anteriores de BAGLE.
|