Aparece una nueva variante del gusano Bagle, BC, extendiéndose rápidamente

PandaLabs ha detectado la aparición de la variante BC del gusano Bagle. Este nuevo código malicioso ha comenzado a propagarse rápidamente, causando numerosas incidencias en los equipos de usuarios de todo el mundo. En base a ello, Panda Software ha declarado el nivel de alerta naranja.

Bagle.BC se propaga rápidamente a través de correo electrónico. Los mensajes en los que se envía tienen las siguientes características:

Asunto (cualquiera de los siguientes):

La extensión de dichos archivos puede ser: com, cpl, exe o scr.

Además, Bagle.BC falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección.

En caso de que el usuario ejecute el archivo adjunto al mensaje, Bagle.BC busca direcciones de correo a las que enviarse en archivos con determinadas extensiones que se encuentren almacenados en el ordenador. Además de ello, y para aumentar aún más su distribución, Bagle.BC se copia en todos aquellos directorios que contengan la cadena de texto “shar”, que normalmente tienen las carpetas compartidas. De esta manera, puede propagarse fácilmente a través de redes y de aplicaciones P2P. A ese fin, emplea una gran variedad de nombres atractivos para el usuario, como ACDSee 9.exe, Adobe Photoshop 9 full.exe o Ahead Nero 7.exe, entre otros muchos.

Por otra parte, Bagle.BC detiene los procesos en memoria de un gran número de programas antivirus y de seguridad, lo que deja al ordenador desprotegido frente a otros posibles ataques. Esto hace de Bagle.BC un gusano aún más peligroso. Sin embargo, Bagle.BC no es capaz de desactivar las Tecnologías TruPrevent, por lo que los ordenadores que cuenten con esta protección están perfectamente protegidos frente al nuevo gusano.

Otro peligroso efecto de Bagle.BC es que abre el puerto de comunicaciones TCP 81, lo que permite que un hacker pueda realizar ataques de forma remota. Además de ello, intenta descargar un archivo denominado G.JPG desde determinadas direcciones de Internet.

Para asegurar su presencia en el equipo en todo momento, Bagle.BC crea tres copias de sí mismo en el ordenador con los nombres wingo.exe, wingo.exeopen y wingo.exeopenopen, e introduce una entrada en el registro de Windows para asegurar su ejecución cada vez que se reinicie el sistema.

Según Luis Corrons, director de PandaLabs, “Bagle.BC viene a continuar la ciberguerra que comenzó hace meses entre varios grupos de creadores de virus. En esta ocasión se trata de un código malicioso que hace uso de la “ingeniería social” y que es capaz de propagarse muy rápidamente. Ambas características hacen de Bagle.BC un gusano especialmente peligroso, ya que la probabilidad de que un usuario reciba un e-mail infectado por este código malicioso es muy elevada”.