En las últimas horas, un nuevo virus de la familia del conocido
Bagle, que nació en enero de este año, ha comenzado a propagarse y a infectar a
numerosos usuarios: Bagle.AM, también conocido como Bagle.AQ y WORM_BAGLE.AC.
Debido al alto número de incidencias entre los equipos de los
usuarios, Panda Software ha declarado el nivel de alerta naranja.
Según Luis Corrons, director de PandaLabs, "Bagle.AM es la continuación de
una larga saga que comenzó hace 7 meses. Además de que utiliza la ingeniería
social para intentar engañar al usuario enviándole un fichero conteniendo,
supuestamente, precios o passwords, combina diferentes métodos de infección. No
es de descartar que en las próximas horas sigan sucediéndose las incidencias,
situación que se agrava por la época del año en que nos encontramos, en la que
muchos países disfrutan de tiempo libre para poder navegar y disfrutar de
Internet."
El nuevo virus Bagle.AM se propaga mediante correo electrónico y envía un
archivo ZIP de aproximadamente 6 Kbytes que contiene un fichero EXE oculto y un
html del mismo nombre. Si el usuario ejecuta el HTML se lanzará el EXE oculto.
Este fichero ejecutable se copia a sí mismo en el sistema y crea dos entradas en
el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe =
%systemdir%\WINdirect.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe =
%systemdir%\WINdirect.exe
Además, Bagle.AM crea y ejecuta una librería DLL de 11.776 bytes de tamaño en:
%systemdir%\_dll.exe, que se encargará de deshabilitar todos los procesos con
los siguientes nombres:
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
Por otro lado, tratará de descargarse un falso fichero JPG de varias URLs
diferentes. En realidad se trata de otro fichero EXE conteniendo el resto del
gusano Bagle.AM que, una vez ejecutado, procederá a propagarse por correo
electrónico a otros destinatarios
Ante la posibilidad de un encuentro con Bagle.AM, Panda Software recomienda
extremar las precauciones y mantener actualizado el software antivirus. |