Bagle copia su código en el PC del usuario

Versión para imprimir

Compañías como Sophos, Symantec o McAfee han emitido ya alertas sobre dos nuevas variantes: W32/Bagle-AD y Bagle-AE, que siguen la nueva táctica de colocar copias de su código en miles de ordenadores infectados. Esto podría indicar que el autor del gusano –uno de los más prolíficos de los últimos meses- siente que está a punto de ser atrapado, según un experto en seguridad. Los creadores de MyDoom hicieron lo mismo, lo cual podría indicar que el autor se está poniendo nervioso y, al distribuir el código en miles de ordenadores podría negar su responsabilidad sobre el código que se pudiera encontrar en su PC.

Las nuevas versiones de Bagle fueron detectadas el martes y son casi idénticas entre sí y muy parecidas a versiones anteriores, que se expanden a través de carpetas compartidas y en mensajes de correo con el gusano en forma de archivo adjunto. Cuando se ejecuta, Bagle muestra un cuadro de diálogo con el título "Error! Can't find a viewer associated with the file" (error, no se puede encontrar un visualizador asociado a este archivo). Como en las anteriores variantes, el gusano recopila las direcciones de e-mail de los archivos almacenados en el disco duro de los ordenadores infectados y tiene su propio motor SMTP, que utiliza para enviar grandes cantidades de mensajes infectados. También deposita una copia del código original en la máquina en un archivo llamado sources.zip, según Sophos.

Los mensajes generados utilizan direcciones ocultas y asuntos vagos del tipo "Re: Document," "Re: Thank you!" y "Update." Los archivos adjuntos infectados pueden estar en formato ZIP, EXE, SCR u otros y tienen nombres poco específicos, como "Moreinfo," "Details" o "Readme”.

También le puede interesar :