SANTIAGO: McAfee, proveedor de soluciones para la prevención de intrusos, anunció en un comunicado de prensa que McAfee AVERT (Anti-Virus and Vulnerability Emergency Response Team), la división de investigación mundial perteneciente a McAfee , aumentó a nivel Medio en Observación la clasificación de riesgo del recientemente descubierto W32/Bagle.af@MM, también conocido como Bagle.af. Esta nueva variante es un gusano que envía mensajes masivos y que viene en la forma de un archivo .ZIP protegido por contraseña, la cual se incluye en el cuerpo del mensaje como texto normal o dentro de una imagen.
El mayor número de archivos infectados se ha registrado en Estados Unidos. Este nivel de actividad ha generado que McAfee AVERT etiquete el virus con la clasificación Riesgo Medio en Observación, ya que esta variante de la familia Bagle tiene grandes posibilidades de convertirse en una amenaza de alto riesgo. Las muestras recibidas por McAfee AVERT han provenido de los usuarios y no del virus, al igual que otros informes del virus Bagle.
Visión General de la Amenaza
Bagle.af es una amenaza que envía mensajes masivos y que cuenta con su propio motor SMTP para crear mensajes salientes. Esta amenaza recolecta direcciones de los archivos locales y luego las utiliza en el campo De para autoenviarse. Esto crea un mensaje con una dirección falsificada en el campo del remitente. El documento adjunto puede ser un archivo .zip protegido por contraseña, la cual se incluye en el cuerpo del mensaje. Además, cuenta con un componente de acceso remoto (que envía una notificación al hacker) y utiliza nombres de mutex de variantes del W32/Netsky para evitar que aquellas variantes se ejecuten en equipos infectados.
Patología de la Amenaza
Luego de ejecutarse, Bagle.af se copia a sí mismo en el directorio Windows System (C:WINNTSYSTEM32sysxp.exe). El gusano también crea sysxp.exeopen y sysexpopenopen en este directorio, para realizar sus funciones. La siguiente clave de registro se agrega para enganchar al inicio del sistema:
— HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
key = C:WINNTSYSTEM32sysxp.exe
Bagle.af también se copia a sí mismo en carpetas que contienen la frase shar en el nombre, como aplicaciones comunes para compartir archivos; KaZaa, Bearshare, Limewire, entre otros. El gusano se autoenvía por correo electrónico a direcciones que encuentra en el host infectado, en la forma de un archivo .zip protegido por contraseña, la cual se incluye en el cuerpo del mensaje.
