|
Nuevo Bagle causa confusión con sus nombres
|
|
VSantivirus No. 1518 Año 8, jueves 2 de setiembre de 2004
Nuevo Bagle causa confusión con sus nombres
http://www.vsantivirus.com/02-09-04.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Una variante del Bagle, causa gran confusión al utilizar diferentes nombres en su corta vida.
El gusano, distribuido en las últimas horas del 31 de agosto
de 2004 por medio de spam (correo no solicitado), descarga de Internet el componente que luego utiliza para propagarse por correo electrónico.
La técnica usada para engañar al usuario a los efectos de que este abra y ejecute el adjunto, es esconder en un archivo .ZIP, una carpeta conteniendo el ejecutable propiamente dicho (esta carpeta oculta suele llamarse "1" o "FOTO").
Cuando el usuario abre el ZIP (generalmente llamado FOTO.ZIP), ve un documento HTML (FOTO.HTML), que al ser visualizado, puede hacer que se ejecute el archivo .EXE dentro de la carpeta oculta (este archivo suele llamarse FOTO1.EXE o CALC.EXE).
Al ejecutarse, intenta descargar de Internet al gusano propiamente dicho, detectado como Bagle. Sin embargo, actualmente ninguno de los casi 170 sitios listados en el código de FOTO1.EXE (o CALC.EXE), contiene dicho archivo.
El nombre dado a esta serie de múltiples componentes por los diversos fabricantes de antivirus, es bastante variado, e incluso llegaron a ser cambiados más de una vez en el transcurso del
mismo día.
Más allá de ello, el gusano posee un ciclo de vida limitado, ya que al ejecutarse después del 2 de setiembre de 2004, simplemente borra la entrada creada por el mismo en el registro, y luego finaliza su propia ejecución.
Más detalles de este gusano en los siguientes enlaces:
Troj/Small.NAQ. Adjunto "Foto.zip" o "Foto1.zip"
http://www.vsantivirus.com/troj-small-naq.htm
W32/Bagle.AI. Se propaga en un ZIP conteniendo un HTML
http://www.vsantivirus.com/bagle-ai.htm
W32/Bagle.AJ. Se propaga por e-mail y P2P
http://www.vsantivirus.com/bagle-aj.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|