Bagle.AC continúa infectando mediante troyano

Aunque su propagación se hace por correo electrónico, BAGLE.AC utiliza un troyano y código HTML para infectar a sus víctimas.

SANTIAGO: El HouseCall, la herramienta de rastreo de virus en línea de Trend Micro, ha reportado en un comunicado de prensa, que cerca de 1.500 computadoras estaría infectadas, sobre todo en los Estados Unidos de Norteamérica.
Los primeros estudios realizados por TrendLabs en este gusano, muestran que, si bien BAGLE.AC se propaga por correo electrónico, a diferencia de las versiones anteriores no infecta los sistemas directamente en el menaje de correo electrónico, sino que utiliza una compleja técnica en la que combina el uso de un Caballo de Troya para descargar el código malicioso de Internet, y un script programado en HTML que aprovecha una vulnerabilidad de la máquina virtual de Microsoft, que permite a un usuario malintencionado acceder a controles ActiveX instalados en la computadora.

Al igual que las anteriores, esta variedad de BAGLE requiere que el usuario abra y ejecute el archivo adjunto en formato comprimido .ZIP. La diferencia radica en que dentro del archivo comprimido no se incluye el código del gusano como tal, sino los dos componentes mencionados que complementan su trabajo. El caballo de Troya tiene usualmente el nombre PRICE.EXE y deposita dos archivos llamados WINDIRECT.EXE y _DLL.EXE Dentro del ZIP viaja también el script en hipertexto, que es identificado como HTML_BAGLE.AC.

Cuando el usuario abre el archivo adjunto, el gusano instala el troyano, que inmediatamente establece contacto con alguno de una larga lista de sitios web, desde donde descarga el programa que contiene el gusano. Al ejecutarse éste, deposita copias de si mismo en la carpeta del sistema de Windows.

Luego intenta crear una entrada en el registro para asegurar que se correrá el programa del gusano en cada inicio de Windows. Sin embargo, un error tipográfico evita que esto suceda, como se observa en la palabra “ru1n”, que debería ser “run”.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022