• Tweet

Expertos de seguridad han alertado el día de hoy sobre un nuevo mutante de Bagle el cual se está propagando rápidamente en muchos países.

Bagle.AY es similar a Bagle.AX debido a que son polimórficos y llegan en correos electrónicos con asuntos y adjuntos variables. También tienen capacidad de propagarse en redes punto a punto.

La firma de seguridad F-Secure alertó que este gusano también contiene una puerta trasera que escucha en el puerto 81. Esta puerta trasera protegida con contraseña permite a un intruso conectarse a una computadora infectada y ejecutar programas arbitrariamente.

Las computadoras infectadas son reportadas al autor del gusano al acceder a varias URL predefinidas. Una vez instalado en una computadora comprometida, el gusano intenta descargar y ejecutar un archivo desde una lista de varios sitios distintos.

Bagle.AY también finaliza procesos de seguridad y software antivirus así como otras aplicaciones.

Lo extraño de este gusano es que ha sido programado para cesar su actividad el 25 de abril del 2006 así, si la fecha de la computadora es la antes mencionada, el gusano se desinstala automáticamente al borrar su llave de inicio en el Registry y terminando su propio proceso.

Cuando se ejecuta el archivo del gusano, éste se copia así mismo como 'sysformat.exe' a la carpeta de Sistema de Windows y crea la llave de inicio en el Registry. El gusano crea dos archivos mas en la misma carpeta: 'sysformat.exeopen' y 'sysformat.exeopenopen'.

Estos archivos son utilizados cuando el gusano se propaga en los correos electrónicos. Bagle.AY busca en el disco duro para recolectar direcciones de correo de posible víctimas, pero excluye específicamente cualquier dirección asociada con antivirus y compañías de seguridad.

El gusano es particularmente difícil de detectar debido a que escoge líneas aleatorias en el asunto, cuerpo y adjuntos del mensaje del correo electrónico.

F-Secure notó que el gusano puede adherirse así mismo a correos electrónicos como un archivo ejecutable con extensiones com, exe, scr y cpl.

Bagle.AY usa los textos siguientes asuntos en los correos infectados:

Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active

De la misma forma, el cuerpo del mensaje es elegido aleatoriamente de una lista predefinida:

Thanks for use of our software
Before use read the help

Asi mismo, los archivo adjuntos pueden tener las extensiones exe, scr, com y cpl:

wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03

"Cuando se propaga como un applet del Panel de Control de Windows, el gusano agrega un pequeño limpiador binario para su archivo ejecutable", dijo F-Secure.

"Cuando es activado el archivo CPL, éste se copia así mismo como el archivo 'cjector.exe' en la carpeta Windows y entonces elimina el archivo dentro de la carpeta de Sistema de Windows".