Trend Micro ha lanzado una alerta de “riesgo medio” por
WORM_BAGLE.Z para alertar a los usuarios sobre esta última variante del gusano
BAGLE, que ha sido vista en Europa y Estados Unidos. Similar a su predecesor
WORM_BAGLE.X, que utilizaba la ingeniería social para confundir a los usuarios e
inducirles a abrir los archivos adjuntos, WORM_BAGLE.Z combina características
recientes junto con una variación en la táctica previa, simulando ser un
documento protegido con una contraseña o una contestación a una notificación.
Este gusano de envío masivo sigue utilizando su propio motor SMTP para
propagarse, obtiene direcciones de email de la lista de direcciones de la
víctima y utiliza los recursos compartidos de red para propagarse. El gusano
también tiene como objetivo varios sitios web alemanes muy conocidos, incluyendo
www.speigel.de , www.heise.de (sitios web de medios de comunicación), sitios web
de museos como www.deutsches-museum.de, e incluso el sitio web oficial nacional
de Alemania www.deutschland.de. Hay que destacar también que a algunos de los
sitios web alemanes listados se accede a través de texto en ruso, por ejemplo
http://www.tekeli.de/ (para tener una lista completa de los sitios web en
cuestión, por favor diríjase a http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.Z
).
Raimund Genes, Presidente de Operaciones Europeas de Trend Micro afirma: “Las
razones para realizar una acción semejante no están totalmente claras. Es
posible que los escritores de este gusano estén intentando crear un ataque de
denegación de servicios en estos sitios web. También es posible que una de las
URLs en cuestión sea un sitio real para seguir infectando, mientras que los
otros están incluidos simplemente para disfrazar esta fuente de infección. Como
alternativa este método podría haber sido creado como un medio para que el
creador del virus reciba un informe de los sistemas que han sido infectados a
través de unos scripts o programación especiales”.
WORM_BAGLE.Z llega como un mensaje con asuntos como “Protected message” o “RE:
Msg reply”, entre otros. El cuerpo del mensaje contiene un archivo .jpg que se
supone que requiere utilizar una contraseña para ver el archivo adjunto, que
utiliza nombres como “Alive_condom”, “Loves_money” o “MoreInfo”. El archivo
adjunto realmente contiene un gusano residente en memoria que deja una copia de
sí mismo en Windows (como DRVDDLL.exe) y se añade a sí mismo a las claves de
registro de Windows para ejecutarse en cada nuevo inicio del sistema.
Además de dirigir los sistemas infectados a determinados sitios web alemanes
(algunos de ellos mencionados arriba), WORM_BAGLE.Z borra las entradas de
registro que harían que las variantes de NETSKY se ejecutaran automáticamente,
de nuevo sugiriendo la rivalidad entre estos dos creadores de virus. Además,
como variantes anteriores, WORM_BAGLE.Z está diseñado para terminar los procesos
asociados con programas antivirus y de seguridad para evitar su detección.
WORM_BAGLE.Z afecta a las plataformasWindows 95, 98, ME, NT,
2000 y XP. Este gusano también es conocido por los siguientes alias: W32.Bagle.X@MM
or W32/Bagle.aa@MM.
|