En su informe semanal de virus, Trend Micro señala que desde que
fue detectada la primera versión de BAGLE en la red, el 18 de enero pasado, sólo
esta familia ha provocado la liberación de 13 llamados de alerta de mediano
riesgo.
Esta semana, refiere, se produjo la décima tercera alerta
amarilla por la aparición de WORM_BAGLE.AI, con el cual sus autores prueban
nuevas tácticas para engañar a los usuarios y contaminar redes y computadoras
individuales.
La empresa de soluciones antivirus destaca que primero fue un
encarnizado combate por ganar predominancia en la presencia de sus "obras" en
los sistemas, entre los autores de BAGLE y NETSKY, que se extendió hasta el
momento en que fue arrestado un confeso autor de esta última familia.
NETSKY produjo multitud de versiones diferentes, pero sólo ocho
llamados de alerta amarilla y sólo WORM_NETSKY.C logró encender las luces rojas
a finales de febrero pasado.
Durante los meses que duró la "guerra" entre ambos grupos de
autores, la tecnología de intromisión en sistemas avanzó al lograr desencadenar
complejas rutinas de propagación, métodos de infección, obtención de direcciones
electrónicas y la instalación de funciones automáticas.
Sin embargo, el principal avance fue el desarrollo de ingeniosos
métodos de ingeniería social para engañar a los usuarios e impulsarlos a
infectar los sistemas, apunta Trend Micro.
Las dos últimas versiones de BAGLE, (AC y AI, ambas descubiertas
en agosto), muestran un cambio radical en las funciones programadas y en la
intencionalidad de sus ataques, además de que se han modificado la mayoría de
sus funciones bajo el mismo código fuente, y se han concentrado en modificar sus
métodos de propagación e infección.
Ambas estrenan un método de contaminación intermediado, al
enviar en los mensajes de correo electrónico un elemento diferente al que
infectará la computadora y, con la colaboración de un troyano, lograr la
descarga desde Internet del gusano definitivo.
Esta estrategia al parecer pretende engañar no sólo a los
usuarios, sino también a las empresas antivirus, al poner a la vista en el
archivo adjunto, un componente diferente al que infectará el sistema.
WORM_BAGLE.AI, explica, es un gusano informático que corre en
Windows 95, 98, ME, NT, 2000, y XP, el cual llega a las computadoras a través
del correo electrónico, como un archivo comprimido en formato .ZIP y es muy
similar a la variedad AC de esta familia.
Lo anterior, debido a que no envía directamente el código del
gusano en el archivo adjunto del mensaje de correo electrónico, sino que en él
viaja un script en lenguaje HTML, que se ejecuta a sí mismo y, al hacerlo,
dispara también la instalación de un troyano.
Es este troyano el que descarga el gusano desde diversos sitios
de Internet, como un archivo de imagen en formato .JPG, el cual es guardado en
el directorio de Windows con el nombre _RE_FILE.EXE.
El gusano interrumpe algunos procesos de productos antivirus que
corren en la memoria del sistema infectado.
En su reporte, Trend Micro da a conocer que los 10 códigos
maliciosos más detectados en el mundo en la semana del 27 de agosto al 2 de
septiembre pasado son
1 |
WORM_SASSER.B |
2 |
PE_ZAFI.B |
3 |
WORM_NETSKY.P |
4 |
HTML_NETSKY.P |
5 |
WORM_NETSKY.D |
6 |
JAVA_BYTEVER.A |
7 |
WORM_ANIG.A |
8 |
TROJ_AGENT.EG |
9 |
TROJ_AGENT.AE |
10 |
WORM_NETSKY.B. |
Por su parte, Panda Software centra su atención en su más reciente reporte en
las amenaza Bagle.AY, Bagle.AW, Bagle.AV y CodeBase.gen.
Las variantes AY, AW y AV de Bagle han sido enviadas de forma
masiva, a través del correo electrónico, en mensajes cuyo asunto es "foto" y que
incluyen un archivo denominado FOTO.ZIP o FOTO1.ZIP.
Este contiene un archivo HTML, junto con otro EXE oculto. En la
práctica, cuando el usuario abre el primero se ejecuta el que tiene extensión
EXE.
Los equipos afectados por Bagle.AY, Bagle.AW y Bagle.AV llevan a
cabo varias acciones, como finalizar procesos que se encuentran activos en
memoria e intentar descargar desde diversos sitios web un falso archivo JPG y
que una vez hecho lo anterior, las citadas variantes comienzan a difundirse.
Por su parte, CodeBase.gen es un código que se incluye en el
cuerpo de un mensaje de correo o página web, para aprovechar los problemas de
seguridad. |