Un nuevo gusano se propaga por toda la Red

[Cazador]

Bagle es un gusano sin efectos destructivos que se propaga a través del correo electrónico con capacidades de puerta trasera que se está propagando por la red a gran velocidad gracias al uso de la llamada "Ingeniería Social."


Beagle, denominado W32/Bagle@MM, I-Worm.Bagle, W32.Beagle.A@mm o W32/Bagle-A, es un gusano que se difunde mediante el envio masivo de correo electrónico a direcciones que captura de diversos ficheros en la máquina infectada. Utiliza un truco de ingeniería social muy simple pero efectivo, consistente en hacerse pasar por un mensaje de prueba con un fichero adjunto que usa el icono de la calculadora de Windows, lo que parece que hace pensar a las víctimas que es inofensivo.

Además de las molestias que causa la rutina de envío masivo de correo, lo que hace más peligroso a este gusano es su capacidad de puerta trasera. El gusano se queda residente en la máquina infectada y aguarda comandos de un usuario remoto no autorizado, que podría obtener control total del sistema infectado, dependiendo de la configuración del sistema y de la red.

Por su capacidad de puerta trasera y su facilidad de propagación, ha sido calificado de alto riesgo por las distintas casas de antivirus y organizaciones de seguridad informática.

Está programado para dejar de funcionar el día 28 de Enero de 2004. El gusano obtiene la fecha del PC infectado (que podría ser incorrecta) y termina su ejecución si ésta es posterior al 28 de Enero.

Propagación vía Correo.
Para propagarse, buscará y capturará direcciones de correo existentes en ficheros de texto o html del disco duro del sistema infectado. Intentará evitar aquellas direcciones de correo que pertenezcan, entre otros, a los dominios hotmail.com msn.com microsoft .com avp.com. A continuación se propagará enviando un mensaje a todas las direcciones de correo electrónico recopiladas, al que adjuntará una copia de sí mismo. Implementa además un motor SMTP propio para propagarse a los destinatarios encontrados.

El mensaje enviado tiene las siguientes características:

Asunto: Hi

Texto del mensaje:
Test =) [Caracteres al azar] Test, yep.

Adjunto: xxx .exe (siendo xxx entre 3 y 11 caracteres en minúsculas escogidos al azar)

Rutina de ocultación.
Si su ejecución no se realiza con el nombre de fichero %System%BBEAGLE.EXE, ejecutará el fichero CALC.EXE (Calculadora de Windows). Mientras, el gusano está ejecutándose en otro proceso, continuando sus actividades. Si el usuario finaliza el proceso de Calculadora, el gusano continuará su ejecución como un proceso distinto. En caso de ejecutar directamente la Calculadora, el gusano fallará en su ejecución.

Capacidad de puerta trasera.
El gusano abre el puerto TCP 6667 y permanece a la espera de conexiones. Esto podría permitir a un usuario remoto no autorizado ejecutar comandos en la máquina infectada. Tiene capacidad para descargar archivos y ejecutarlos en las máquinas infectadas.

Intenta acceder a varias direcciones de Internet, como http://www.elrasshop.de o http://www.kunst-in-templin.de, posiblemente para actualizarse o para notificar la infección a su creador.

El gusano intentará realizar un escaneo de puertos para conectarse con el sistema remoto.

Solución
Es posible utilizar, o bien la herramienta de restauración del sistema de los sistemas operativos MS Windows Xp o bien usar las herramientas de limpieza que varias casas de antivirus han distribuido gratuitamente:

PQREMOVE (Panda Software)
F-Secure
Symantec
Bit Defender
También es posible limpiar de forma "manual" el gusano eliminando las claves de registro que crea, así como su ejecutable del sistema, aunque es recomendable recurrir a las herramientas anteriores por ser el procedimiento más fácil.

Para más información,

Aviso del Centro de Alerta Temprana (CAT) .
Symantec
McAfee
Trend Micro
Sophos
PerAntivirus
Enciclopedia Virus (Ontinent)
Computer Associates
Kaspersky (viruslist.com)
Bit Defender
Panda Software
F-Secure

[Alfonsuas]

Pedroooo, Graciassssss.