na peligrosidad media (tres en la escala de uno al cinco)
nada más aparecer debido a los resultados registrados por los sensores que
colaboran con el CAT.
El virus se difunde a través del envío masivo de correos
electrónicos a direcciones electrónicas recopiladas en ficheros de la máquina
infectada y mediante redes de intercambio de ficheros (en un 'e-mail' con el
remitente falsificado y con el asunto 'Re Hello', 'Re Hi', 'Re Thank you!' o 'Re
Thanks :)'.
En cuanto al cuerpo del texto, éste suele reducirse a algún emoticono
—secuencias de caracteres que expresan sentimientos—, como :) o :)), mientras
que el fichero anexo que contiene el virus responde a alguno de los siguientes:
price.cpl, price.com, price.exe, price.scr, joke.cpl, joke.com y joke.exe.
El gusano detiene la ejecución de varios procesos, entre ellos algunos asociados
a herramientas de seguridad informática (antivirus, cortafuegos,
actualizaciones). Además, intenta que la máquina infectada se conecte a a varios
sitios de Internet y abre una puerta trasera —en el puerto TCP 81— y permite el
acceso remoto no autorizado al equipo infectado.
Panda Software también ha advertido sobre la rápida difusión de este virus, al
que ha denominado 'Bagle.BC', y ha declarado el nivel de 'alerta roja' de manera
preventiva debido a que "sigue aumentado" su ritmo de distribución en todo el
mundo y, además, espera que el número de incidencias "siga en aumento y
aparezcan nuevas variantes ".
De hecho, la compañía española de seguridad informática comunicó la aparición de
las nuevas variantes 'BD' y 'BE' del virus. A su juicio, el objetivo de los
autores de estos gusanos es "poner el máximo número de códigos maliciosos en
circulación para aumentar enormemente la probabilidad de que los equipos se vean
afectados por algunos de ellos".
¿Como opera Bagle? |
Bagle.BC se propaga rápidamente a través de correo electrónico. Los
mensajes en los que se envía tienen las siguientes características:
Asunto (cualquiera de los siguientes):
- Re:
- Re:Hello
- Re:Hi
- Re:Thank you!
- Re:Thanks :)
Cuerpo de texto:
Archivo adjunto (cualquiera de los siguientes):
La extensión de dichos archivos puede ser: com, cpl, exe oscr.
Además, Bagle.BC falsifica la dirección que aparece como remitente del
mensaje de correo que provoca la infección.
En caso de que el usuario ejecute el archivo adjunto al mensaje, Bagle.BC
busca direcciones de correo a las que enviarse en archivos con
determinadas extensiones que se encuentren almacenados en el ordenador.
Además de ello, y para aumentar aún más su distribución, Bagle.BC se copia
en todos aquellos directorios que contengan la cadena de texto “shar”, que
normalmente tienen las carpetas compartidas. De esta manera, puede
propagarse fácilmente a través de redes y de aplicaciones P2P. A ese fin,
emplea una gran variedad de nombres atractivos para el usuario, como
ACDSee 9.exe, Adobe Photoshop 9 full.exe o Ahead Nero 7.exe, entre otros
muchos.
Por otra parte, Bagle.BC detiene los procesos en memoria de un gran número
de programas antivirus y de seguridad, lo que deja al ordenador
desprotegido frente a otros posibles ataques. Esto hace de Bagle.BC un
gusano aún más peligroso. Sin embargo, Bagle.BC no es capaz de desactivar
las Tecnologías TruPrevent, por lo que los ordenadores que cuenten con
esta protección están perfectamente protegidos frente al nuevo gusano.
Otro peligroso efecto de Bagle.BC es que abre el puerto de comunicaciones
TCP 81, lo que permite que un hacker pueda realizar ataques de forma
remota. Además de ello, intenta descargar un archivo denominado G.JPG
desde determinadas direcciones de Internet.
Para asegurar su presencia en el equipo en todo momento, Bagle.BC crea
tres copias de sí mismo en el ordenador con los nombres wingo.exe,
wingo.exeopen y wingo.exeopenopen,e introduce una entrada en el registro
de Windows para asegurar su ejecución cada vez que se reinicie el sistema.
Según Luis Corrons, director de PandaLabs, “Bagle.BC viene a continuar
la ciberguerra que comenzó hace meses entre varios grupos de creadores de
virus. En esta ocasión se trata de un código malicioso que hace uso de la
“ingeniería social” y que es capaz de propagarse muy rápidamente. Ambas
características hacen de Bagle.BC un gusano especialmente peligroso, ya
que la probabilidad de que un usuario reciba un e-mail infectado por este
código malicioso es muy elevada”. |
|