La variante de Bagle se presenta como un archivo adjunto con contraseña e intenta conectarse a sitios web alemanes
Trend Micro ha lanzado una alerta de riesgo medio por WORM_BAGLE.Z para alertar a los usuarios sobre esta última variante del gusano BAGLE, que ha sido vista en Europa y Estados Unidos. Similar a su predecesor WORM_BAGLE.X, que utilizaba la ingeniería social para confundir a los usuarios e inducirles a abrir los archivos adjuntos, WORM_BAGLE.Z combina características recientes junto con una variación en la táctica previa, simulando ser un documento protegido con una contraseña o una contestación a una notificación.
Este gusano de envío masivo sigue utilizando su propio motor SMTP para propagarse, obtiene direcciones de email de la lista de direcciones de la víctima y utiliza los recursos compartidos de red para propagarse. El gusano también tiene como objetivo varios sitios web alemanes muy conocidos, incluyendo www.speigel.de , www.heise.de (sitios web de medios de comunicación), sitios web de museos como www.deutsches-museum.de, e incluso el sitio web oficial nacional de Alemania www.deutschland.de. Hay que destacar también que a algunos de los sitios web alemanes listados se accede a través de texto en ruso, por ejemplo http://www.tekeli.de/ (para tener una lista completa de los sitios web en cuestión, por favor diríjase a http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.Z ).
Raimund Genes, Presidente de Operaciones Europeas de Trend Micro afirma: “Las razones para realizar una acción semejante no están totalmente claras. Es posible que los escritores de este gusano estén intentando crear un ataque de denegación de servicios en estos sitios web. También es posible que una de las URLs en cuestión sea un sitio real para seguir infectando, mientras que los otros están incluidos simplemente para disfrazar esta fuente de infección. Como alternativa este método podría haber sido creado como un medio para que el creador del virus reciba un informe de los sistemas que han sido infectados a través de unos scripts o programación especiales”.
WORM_BAGLE.Z llega como un mensaje con asuntos como Protected message o RE: Msg reply, entre otros. El cuerpo del mensaje contiene un archivo .jpg que se supone que requiere utilizar una contraseña para ver el archivo adjunto, que utiliza nombres como Alive_condom, Loves_money o MoreInfo. El archivo adjunto realmente contiene un gusano residente en memoria que deja una copia de sí mismo en Windows (como DRVDDLL.exe) y se añade a sí mismo a las claves de registro de Windows para ejecutarse en cada nuevo inicio del sistema.
Además de dirigir los sistemas infectados a determinados sitios web alemanes (algunos de ellos mencionados arriba), WORM_BAGLE.Z borra las entradas de registro que harían que las variantes de NETSKY se ejecutaran automáticamente, de nuevo sugiriendo la rivalidad entre estos dos creadores de virus. Además, como variantes anteriores, WORM_BAGLE.Z está diseñado para terminar los procesos asociados con programas antivirus y de seguridad para evitar su detección.
WORM_BAGLE.Z afecta a las plataformasWindows 95, 98, ME, NT, 2000 y XP. Este gusano también es conocido por los siguientes alias: W32.Bagle.X@MM or W32/Bagle.aa@MM.
Los clientes de Trend Micro están protegidos de esta amenaza a través del último fichero de firmas de virus (número 877 o posterior). Los clientes de los Servicios de Prevención de Epidemias deben descargarse la OPP 109 para ayudarles a protegerse de la propagación de esta amenaza. Los clientes de los Servicios de Limpieza de Daños, deberían descargar la plantilla Damage Cleanup número 329 para ayudarles a restaurar sus sistemas afectados.
Otros usuarios pueden utilizar Housecall, el escáner antivirus en línea gratuito de Trend Micro, al que se puede acceder desde http://es.trendmicro-europe.com/consumer/products/housecall_launch.php
Para más información, por favor visite:
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_
Acerca de Trend Micro
Trend Micro es líder en servicios y software antivirus para redes y de seguridad de contenidos de Internet. La corporación, con sede central en Tokio, tiene su central europea en Marlow, Inglaterra, unidades de negocio en todo el mundo. Los productos de Trend Micro se venden a través de distribuidores corporativos y de valor añadido y proveedores de servicios gestionados. Para más información sobre los productos de Trend Micro, por favor visite: www.trendmicro-europe.com
Fuente: Trend Micro
29 – 04 – 2004