En su reporte, Trend Micro refiere que en su rutina de envío masivo de correo
electrónico, WORM_BAGLE.X busca las direcciones de los destinatarios en diversos
archivos que encuentra en el disco duro infectado.
Precisa que el mensaje de correo electrónico en el que llega a las
computadoras tiene el siguiente aspecto:
Para: <Destinaario>
De: annie@, christina@, christy@, jessie@, lizie@, secretGurl@, seguido del
dominio del servidor de correo del destinatario.
Menciona que en asunto puede ser
Fax Message Received
Forum notify, Hello!
Hidden message
I just need a friend
I like you
I'm a sad girl
I'm bored with this life
Incoming message
Let's socialize, my friend!
Let's talk, my friend!, Notify from a known person
Protected message.
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks:)
Re: Yahoo!, Request response
Site changes.
La empresa antivirus menciona que WORM_BAGLE.X indica en su cuerpo del
mensaje:
Hello &;lt;nombre de usuario>
Dear &;lt; nombre de usuario >
Dear &;lt; nombre de usuario >
It's me ;-) Hi &;lt; nombre de usuario >
Hey &;lt; nombre de usuario >
It's me -> Hi &;lt; nombre de usuario >
It's me, Hey &;lt; nombre de usuario >, Hey, Hi o Hello.
Además, abunda, puede incluir diversos textos en inglés o alguno de los
textos como Read the attach, Your file is attached, More info is in attach, See
attach, Please, have a look at the attached file, así como Sincerely, Best
wishes,Yours, Have a good day, Cheers o Kind regards, todod con el nombre del
remitente que pueden ser lizie, annie, christina, secretGurl, jessie y christy.
Indica que como archivo adjunto incluye los datos Details, Document,
Information, Message, MoreInfo y Readme, que tienen alguna de las siguientes
extensiones COM, CPL, EXE, HTA, SCR, VBS y ZIP.
También adjunta un archivo de imagen de una chica, usando alguno de los
nombres en formato JPEG image12, me2, me3, myphoto4, myphoto7 y photo.
Trend Micro expone que para su propagación en las unidades compartidas de la
red este gusano realiza de copias de sí mismo en las carpetas que como parte de
su nombre llevan el texto "shar".
Subraya que los archivos copiados tienen nombres que hacen referencia a
conocidas aplicaciones y juegos de computadora son ACDSee 9.exe, Adobe Photoshop
9 full.exe, Ahead Nero 7.exe, Kaspersky Antivirus 5.0, KAV 5.0, Matrix 3
Revolution English Subtitles.exe, Microsoft Office 2003 Crack, Working!.exe y
Microsoft Office XP working Crack, Keygen.exe, entre otros.
Advierte que al ejecutar el archivo infectado, el gusano despliega el mensaje
de error "Can't find a viewer associated with the file" y abre la pantalla "OK".
Posteriormente, abunda, este virus se instala en la computadora y deposita
tres copias de sí mismo en la carpeta del sistema de Windows Drvsys.exe,
Drvsys.exeopen y Drvsys.exeopenopen.
Aclara que el número de archivos depositados puede ser mayor, en cuyo caso, a
cada nuevo archivo se le agrega la palabra "open" al final.
Después inserta alguna de estas entradas en el registro, para asegurar su
ejecución automática en cada inicio del sistema:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Drvsys.exe = "%System%\
Drvsys.exe"
HKEY_USER\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Run Drvsys.exe = "%System%\
Drvsys.exe"
Trend Micro explica que al igual que muchas de las
versiones anteriores de BAGLE, esta modalidad intenta desactivar una serie de
programas en la computadora infectada, todos ellos relacionados con la seguridad
del sistema.
Puntualiza que continúa con el análisis del comportamiento de WORM_BAGLE.X,
en tanto que invita a los usuarios de computadoras a no abrir mensajes con
archivos adjuntos cuyo contenido sea desconocido, sin antes revisarlos con un
programa antivirus actualizado con las más recientes definiciones de virus.
|