Segundo empresas e consultoras especializadas en seguridade informática a escala internacional, nas últimas horas fixo aparición un novo virus da familia “Bagle”, cuxa primeira variante apareceu en xaneiro pasado.
“Bagle.AQ”, tamén coñecido como “Bagle.AM”, distribúese por correo electrónico e tamén a través de redes de intercambio de arquivos “P2P”, nunha mensaxe co texto “price” ou “new price” e achegando un arquivo ZIP de 5,94 kb, que contén un ficheiro EXE oculto e un html do mesmo nome.
O virus libera ademais un compoñente de porta traseira, o cal a través dos portos TCP e UDP 2480 (Deattle de Lingwood) establece contacto co autor do virus e recibe comandos en forma remota.
Esta nova versión de Bagle “” crea e executa tamén unha libraría DLL de 11.776 bytes de tamaño en %systemdir%_dll.exe “”, que se encargará de deshabilitar todos os procesos con diferentes nomes.
Así mesmo, o virus tratará de descargarse un falso ficheiro JPG de varias webs diferentes. En realidade trátase doutro ficheiro EXE contendo o resto do verme que, unha vez executado, procederá a propagarse por correo electrónico a outros destinatarios, segundo informa Panda Software, que declarou o nivel de alerta laranxa.
Segundo Luís Corrons, director de PandaLabs, “‘Bagle.AQ’ é a continuación dunha longa saga que comezou hai 7 meses. Ademais de que utiliza a enxeñaría social para tentar enganar ao usuario enviándolle un ficheiro contendo, supostamente, prezos ou contrasinais, combina diferentes métodos de infección”.
Pola súa banda, a consultora independente de seguridade Hispasec recomenda aos usuarios, como medida preventiva, e aproveitando que o verme é facilmente reconocible polo seu aspecto máis externo, eliminar directamente calquera mensaxe das características descritas. O filtrado pode ser realizado igualmente de forma sinxela polos administradores de servidores de correo, co fin de que non chegue ás caixas de correos dos usuarios.
