En las últimas horas, un nuevo virus de la familia del conocido Bagle, que nació en enero de este año, ha comenzado a propagarse y a infectar a numerosos usuarios: Bagle.AM, también conocido como Bagle.AQ y WORM_BAGLE.AC. Debido al alto número de incidencias entre los equipos de los usuarios, Panda Software ha declarado el nivel de alerta naranja.
Según Luis Corrons, director de PandaLabs, "Bagle.AM es la continuación de una larga saga que comenzó hace 7 meses. Además de que utiliza la ingeniería social para intentar engañar al usuario enviándole un fichero conteniendo, supuestamente, precios o passwords, combina diferentes métodos de infección. No es de descartar que en las próximas horas sigan sucediéndose las incidencias, situación que se agrava por la época del año en que nos encontramos, en la que muchos países disfrutan de tiempo libre para poder navegar y disfrutar de Internet."
El nuevo virus Bagle.AM se propaga mediante correo electrónico y envía un archivo ZIP de aproximadamente 6 Kbytes que contiene un fichero EXE oculto y un html del mismo nombre. Si el usuario ejecuta el HTML se lanzará el EXE oculto.
Este fichero ejecutable se copia a sí mismo en el sistema y crea dos entradas en el registro:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe = %systemdir%WINdirect.exe
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe = %systemdir%WINdirect.exe
Además, Bagle.AM crea y ejecuta una librería DLL de 11.776 bytes de tamaño en: %systemdir%\\_dll.exe, que se encargará de deshabilitar todos los procesos con los siguientes nombres:
FIREWALL.EXE ATUPDATER.EXE winxp.exe sys_xp.exe sysxp.exe LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE NUPGRADE.EXE MCUPDATE.EXE
Por otro lado, tratará de descargarse un falso fichero JPG de varias URLs diferentes. En realidad se trata de otro fichero EXE conteniendo el resto del gusano Bagle.AM que, una vez ejecutado, procederá a propagarse por correo electrónico a otros destinatarios
Ante la posibilidad de un encuentro con Bagle.AM, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.
Para la detección y desinfección gratuita de los ordenadores pueden utilizar el antivirus on-line Panda ActiveScan: www.ActiveScan.com.ar
|