ALERTA NARANJA: Bagle.AM

Un nuevo virus, Bagle.AM, amenaza Internet.

ALERTA NARANJA: Bagle.AMCuando se cumplen siete meses desde la aparición del primer virus de la familia Bagle, ya se han recibido numerosas incidencias del que parece ser la nueva amenaza de la Red.

Las nuevas Tecnologías TruPrevent, “Las tecnologías más inteligentes contra virus desconocidos e intrusos”, han detectado y bloqueado eficazmente esta nueva variante de Bagle, sin necesidad de conocerlo con anterioridad.

Bagle.AM se envía por correo electrónico y envía un archivo ZIP que contiene un fichero EXE oculto y un html del mismo nombre.

Trata de descargarse un falso fichero JPG desde diferentes direcciones de Internet. Este fichero es, en realidad, un .exe que contiene el resto del gusano y que, al ejecutarse, se reenvía a sí mismo por correo electrónico.

En las últimas horas, un nuevo virus de la familia del conocido Bagle, que nació en enero de este año, ha comenzado a propagarse y a infectar a numerosos usuarios: Bagle.AM, también conocido como Bagle.AQ y WORM_BAGLE.AC. Debido al alto número de incidencias entre los equipos de los usuarios, Panda Software ha declarado el nivel de alerta naranja. Los clientes de Panda Software que tienen ya instaladas las nuevas Tecnologías TruPrevent han estado protegidos de forma preventiva, ya que han sido capaz de detectar y bloquear al nuevo virus sin necesidad de conocerlo con anterioridad (más información sobre las nuevas Tecnologías TruPrevent en www.pandasoftware.es/truprevent).

Según Luis Corrons, director de PandaLabs, “Bagle.AM es la continuación de una larga saga que comenzó hace 7 meses. Además de que utiliza la ingeniería social para intentar engañar al usuario enviándole un fichero conteniendo, supuestamente, precios o passwords, combina diferentes métodos de infección. No es de descartar que en las próximas horas sigan sucediéndose las incidencias, situación que se agrava por la época del año en que nos encontramos, en la que muchos países disfrutan de tiempo libre para poder navegar y disfrutar de Internet.”

El nuevo virus Bagle.AM se propaga mediante correo electrónico y envía un archivo ZIP de aproximadamente 6 Kbytes que contiene un fichero EXE oculto y un html del mismo nombre. Si el usuario ejecuta el HTML se lanzará el EXE oculto.

Este fichero ejecutable se copia a sí mismo en el sistema y crea dos entradas en el registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe =
%systemdir%WINdirect.exe

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe =
%systemdir%WINdirect.exe

Además, Bagle.AM crea y ejecuta una librería DLL de 11.776 bytes de tamaño en: %systemdir%_dll.exe, que se encargará de deshabilitar todos los procesos con los siguientes nombres:

FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

Por otro lado, tratará de descargarse un falso fichero JPG de varias URLs diferentes. En realidad se trata de otro fichero EXE conteniendo el resto del gusano Bagle.AM que, una vez ejecutado, procederá a propagarse por correo electrónico a otros destinatarios

Ante la posibilidad de un encuentro con Bagle.AM, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.

Los clientes de Panda Software ya tienen disponibles las actualizaciones para instalar las nuevas Tecnologías TruPrevent junto con su antivirus y estar, así, protegidos de forma preventiva frente a éste u otros nuevos códigos maliciosos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPrevent Personal es la solución idónea, ya que es compatible y complementario a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPrevent en www.pandasoftware.es/truprevent.

Más información sobre Bagle.AM u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Para la detección y desinfección gratuita de los ordenadores pueden utilizar el antivirus on-line Panda ActiveScan:
www.ActiveScan.com.ar

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática