[Seguridad] Vuelve Bagle y contamina a media internet

Vuelve Bagle y contamina a media internet
http://www.noticiasdot.com/publicac...004-27.htm

El Centro de Alerta Antivirus y Seguridad Informática (CAT), órgano
dependiente del Ministerio de Industria, Turismo y Comercio, ha
situado en alerta la última variante del virus 'Bagle' tras advertir
"numerosas incidencias en las últimas horas" del viernes por este
código malicioso, que se difunde principalmente por correo
electrónico. La llegad del virus ha coincidido con una nueva variante
del W32/Zafi.C que sortea la seguridad del Windows XP SP2 y busca
atacar a Google y Microsoft


na peligrosidad media (tres en la escala de uno al cinco) nada más
aparecer debido a los resultados registrados por los sensores que
colaboran con el CAT.

El virus se difunde a través del envío masivo de correos electrónicos
a direcciones electrónicas recopiladas en ficheros de la máquina
infectada y mediante redes de intercambio de ficheros (en un 'e-mail'
con el remitente falsificado y con el asunto 'Re Hello', 'Re Hi', 'Re
Thank you!' o 'Re Thanks :)'.

En cuanto al cuerpo del texto, éste suele reducirse a algún emoticono
—secuencias de caracteres que expresan sentimientos—, como :) o :)),
mientras que el fichero anexo que contiene el virus responde a alguno
de los siguientes: price.cpl, price.com, price.exe, price.scr,
joke.cpl, joke.com y joke.exe.

El gusano detiene la ejecución de varios procesos, entre ellos algunos
asociados a herramientas de seguridad informática (antivirus,
cortafuegos, actualizaciones). Además, intenta que la máquina
infectada se conecte a a varios sitios de Internet y abre una puerta
trasera —en el puerto TCP 81— y permite el acceso remoto no autorizado
al equipo infectado.

Panda Software también ha advertido sobre la rápida difusión de este
virus, al que ha denominado 'Bagle.BC', y ha declarado el nivel de
'alerta roja' de manera preventiva debido a que "sigue aumentado" su
ritmo de distribución en todo el mundo y, además, espera que el número
de incidencias "siga en aumento y aparezcan nuevas variantes ".

De hecho, la compañía española de seguridad informática comunicó la
aparición de las nuevas variantes 'BD' y 'BE' del virus. A su juicio,
el objetivo de los autores de estos gusanos es "poner el máximo número
de códigos maliciosos en circulación para aumentar enormemente la
probabilidad de que los equipos se vean afectados por algunos de
ellos".


¿Como opera Bagle?
Bagle.BC se propaga rápidamente a través de correo electrónico. Los
mensajes en los que se envía tienen las siguientes características:

Asunto (cualquiera de los siguientes):

* Re:
* Re:Hello
* Re:Hi
* Re:Thank you!
* Re:Thanks :)

Cuerpo de texto:

* :) ó :))

Archivo adjunto (cualquiera de los siguientes):

* Joke
* Price
* price

La extensión de dichos archivos puede ser: com, cpl, exe oscr.

Además, Bagle.BC falsifica la dirección que aparece como remitente del
mensaje de correo que provoca la infección.

En caso de que el usuario ejecute el archivo adjunto al mensaje,
Bagle.BC busca direcciones de correo a las que enviarse en archivos
con determinadas extensiones que se encuentren almacenados en el
ordenador. Además de ello, y para aumentar aún más su distribución,
Bagle.BC se copia en todos aquellos directorios que contengan la
cadena de texto “shar”, que normalmente tienen las carpetas
compartidas. De esta manera, puede propagarse fácilmente a través de
redes y de aplicaciones P2P. A ese fin, emplea una gran variedad de
nombres atractivos para el usuario, como ACDSee 9.exe, Adobe Photoshop
9 full.exe o Ahead Nero 7.exe, entre otros muchos.

Por otra parte, Bagle.BC detiene los procesos en memoria de un gran
número de programas antivirus y de seguridad, lo que deja al ordenador
desprotegido frente a otros posibles ataques. Esto hace de Bagle.BC un
gusano aún más peligroso. Sin embargo, Bagle.BC no es capaz de
desactivar las Tecnologías TruPrevent, por lo que los ordenadores que
cuenten con esta protección están perfectamente protegidos frente al
nuevo gusano.

Otro peligroso efecto de Bagle.BC es que abre el puerto de
comunicaciones TCP 81, lo que permite que un hacker pueda realizar
ataques de forma remota. Además de ello, intenta descargar un archivo
denominado G.JPG desde determinadas direcciones de Internet.

Para asegurar su presencia en el equipo en todo momento, Bagle.BC crea
tres copias de sí mismo en el ordenador con los nombres wingo.exe,
wingo.exeopen y wingo.exeopenopen,e introduce una entrada en el
registro de Windows para asegurar su ejecución cada vez que se
reinicie el sistema.

Según Luis Corrons, director de PandaLabs, “Bagle.BC viene a continuar
la ciberguerra que comenzó hace meses entre varios grupos de creadores
de virus. En esta ocasión se trata de un código malicioso que hace uso
de la “ingeniería social” y que es capaz de propagarse muy
rápidamente. Ambas características hacen de Bagle.BC un gusano
especialmente peligroso, ya que la probabilidad de que un usuario
reciba un e-mail infectado por este código malicioso es muy elevada”.


Filtrado por /mal educado/ «Tella Llop, JM» desde 2003.10.25 (Kill-File Global):

De muestra un 'boton' http://tinyurl.com/2rxdv (menores de edad no sigais este enlace).