PandaLabs ha detectado la aparición de los nuevos gusanos Bagle.BK y Bagle.BL.
Ambos están diseñados para propagarse rápidamente a través de correo electrónico
-en mensajes que hacen uso de la ingeniería social-, y de aplicaciones P2P tipo
KaZaA. La red internacional de Soporte Técnico de Panda Software ya ha
registrado algunas incidencias causadas por Bagle.BL en países como Holanda y
USA, si bien, por sus características, es probable que el número de equipos
afectados por ambos gusanos vaya en aumento. En base a ello, Panda Software ha
declarado el estado de alerta naranja leve.
Bagle.BK y Bagle.BL llegan a los ordenadores en mensajes de correo electrónico
con direcciones de remite falsas, y cuyos asuntos son escogidos aleatoriamente a
partir de una lista de opciones. Algunos ejemplos son: “Delivery by mail” o
”Delivery service mail”. Por su parte, en el cuerpo de texto pueden leerse
frases como: “Before use read the help” o ”Thanks for use of our software”. Por
su parte, los archivos adjuntos a los mensajes y que, en realidad, contienen el
código de los gusanos, tienen nombre variable si bien su extensión siempre es
COM, CPL, EXE o SCR.
Para su propagación a través de aplicaciones P2P tipo KaZaA o Morpheus, ambos
gusanos crean -en los directorios compartidos de dichos programas- copias de sí
mismos con nombres como ACDSee 9.exe, Adobe Photoshop 9 full.exe o Ahead Nero 7.exe,
entre otros. De esta manera, otros usuarios podrán descargarlos en sus equipos e
infectarse en caso de que los ejecuten.
Sea cual sea la forma en que lleguen a los equipos, si un fichero conteniendo a
cualquiera de los dos gusanos es ejecutado, estos se envían, utilizando su
propio motor SMTP, a las direcciones de correo electrónico que puedan
encontrarse en archivos con determinadas extensiones que estén almacenados en el
ordenador. Sin embargo, evita mandarse a ciertas direcciones, relacionadas
principalmente con compañías de software y de seguridad informática. La acción
más peligrosa que ambas variantes de Bagle llevan a cabo es la terminación de
los procesos en memoria correspondientes a varias aplicaciones antivirus y de
seguridad. Esto deja a los equipos desprotegidos frente a otros posibles
ataques.
Asimismo, introducen varias entradas en el registro de Windows con el fin de
asegurar su ejecución cada vez que se reinicie el sistema, y borran otras que
puedan existir y que hayan sido creadas como consecuencia de ataques de algunas
variantes del gusano Netsky. |