La versión AQ del Bagle (detectada desde el primer momento por
NOD32 sin necesidad de ninguna actualización), es también conocida como Bagle.AZ,
AR, AM, AS y BB, por otros fabricantes, informa Enciclopedia de virus
La principal vía de infección es el correo electrónico, a través de mensajes con
un asunto en apariencia tan inocente como "Re:", "Re: Hello", "Re: Hi", "Re:
Thank you!" o "Re: Thanks :)". Como texto solo se muestra el emoticón de una
cara sonriente. El remitente es siempre falso, y no identifica al usuario que
realmente lo envía.
La infección se produce cuando el usuario abre el adjunto, el cuál puede
llamarse "Price" o "Joke", y tener cualquiera de estas extensiones: .COM, .CPL,
.EXE o .SCR.
Una vez ejecutado, Bagle abre una puerta trasera que le permite a un intruso
realizar diferentes tareas en forma remota, entre ellas usar los equipos
infectados como plataforma para el envío de correo no deseado a otros usuarios.
El gusano también se copia en las carpetas de conocidas aplicaciones P2P, para
infectar a los usuarios que lo descarguen de allí al compartir sus archivos.
Para ello se disfraza con múltiples nombres.
El Bagle impide la ejecución de otros gusanos, además de finalizar la ejecución
de conocidas aplicaciones de seguridad y hasta de herramientas del propio
Windows, lo que puede dificultar la limpieza de un equipo infectado.
Una de las características de esta versión, es que intenta descargar desde una
gran cantidad de sitios de Internet especificados en su código, un archivo con
extensión .JPG.
Esto cobra especial preocupación estos días, debido a que todos los analistas en
seguridad, aguardan la inminente aparición de un virus con ese formato, que se
pueda aprovechar de una reciente vulnerabilidad que afecta a múltiples productos
de Microsoft.
El fallo permite la ejecución de un archivo por la simple visualización de una
imagen. Aunque la compañía ya publicó los parches respectivos, aún son muchos
los usuarios que no se han actualizado
|