WORM_BAGLE.AZ llega en un archivo adjunto de correo electrónico, simulando ser una notificación o confirmación de entrega y utiliza direcciones falsificadas para que parezca que viene de una fuente conocida. Tras la infección, el gusano reúne nuevas direcciones de correo electrónico, deja copias de sí mismo en carpetas compartidas y, entonces, utiliza el sistema infectado como una plataforma de lanzamiento para propagarse entre otros usuarios.
Se han detectado diferentes variantes de los gusanos BAGLE y MYDOOM en los últimos días, lo que sugiere que estos creadores de virus han vuelto a la actividad. Por este motivo, se avisa a los usuarios que estén atentos ante estas últimas amenazas y utilicen precauciones adicionales cuando reciban un correo electrónico.
Hay que tener especial cuidado con los correos que tengan las siguientes características:
De: (dirección email falsificada)
Asunto: (cualquiera de los siguientes) Delivery Service Mail Delivery by mail Registration is accepted Is delivered mail You are made active Thanks for use of our software Before use read the help
Cuerpo del mensaje: Delivery service mail Delivery by mail Registration is accepted Is delivered mail You are made active Thanks for use of our software. Before use read the help
Archivo adjunto: (cualquiera de estos) guupd02.exe Jol03.exe siupd02.exe upd02.exe viupd02.exe wsd01.exe zupd02.exe
Una vez dentro de la máquina infectada, WORM_BAGLE.AZ finaliza varios procesos relacionados con programas antivirus y de seguridad e intenta conectarse con uno de los diferentes sitios web que tiene programados para descargarse archivos JPG, que son utilizados como una marca que indica que un sistema en particular ya ha sido infectado. También abre puertos TCP de forma aleatoria (comenzando con los números de puerto 2339) para dejar al creador del virus puertas abiertas en los sistemas.
“No es sorprendente que amenazas como BAGLE y MYDOOM todavía sean vistas incluso un año después de que se crearan por primera vez”, comenta Jamz Yaneza, investigador senior de virus y analista de Trend Micro. “Sus creadores están probando constantemente nuevos métodos de ingeniería social y técnicas de propagación para volver a expandir estas amenazas y quizá ir perfeccionando las unas a las otras. La mejor forma de combatirlas es la vigilancia permanente.”
WORM_BAGLE.AZ llega en un archivo de unos 19 KB de tamaño. Afecta a plataformas Windows 95, 98, ME, NT, 2000 y XP. Este gusano también puede ser conocido por los siguientes alias o nombres: W32/Bagle.bk@mm o W32/Beagle.AZ.mm.
Los clientes de Trend Micro están protegidos a través del último fichero firmas, número 2.375.00. Los clientes de los Servicios de Prevención de Epidemias tienen que descargarse la OPP 140 (o posterior) para ayudarles a protegerse contra la propagación de esta amenaza. Los clientes de los Servicios de Limpieza de Daños (Damage Cleanup Services) pueden descargarse la plantilla de Limpieza de Daños #495 para ayudarles con la restauración de los sistemas afectados.
Otros usuarios pueden utilizar el escáner antivirus en línea Housecall, que se puede visitar en http://es.trendmicro-europe.com/housecall
Para más información, por favor visite: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AZ
|