Nuevas variantes de w32/Bagle aún no controladas.

Nombre de virus: W32/Bagle
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero 
Detección: próxima versión  
Motor necesario: 
Infección actual: Inicial (Inicial, Media, Elevada)

Como siempre, los primeros días de aparición de nuevas variantes de gusanos son las peores para los usuarios, por el desconocimiento de los mismos, la falta de control de dichos malwares, y al no ser controlados es muy fácil que entren en el ordenador, lo infecten y se propaguen a otros equipos de la misma red o a otros remotos, a través de Internet.

Este es frecuentemente el caso del W32/Bagle, gusano conocido que se recibe por correo masivo, bien por email enviado desde ordenadores infectados, anexando fichero malicioso (el adjunto puede estar empaquetado incluso con password, el cual se indica en el mismo mensaje), o bien por spam masivo pero también anexando fichero, lo cual no es frecuente en los spams, pero que se da en el caso del W32/Bagle

Esta semana se están propagando nuevas versiones del W32/Bagle, que todavía los antivirus no detectan, las cuales ya controlamos con nuestra utilidad ELIBAGLA, y aunque hemos enviado muestras a McAfee para que lo controlen en próximos DATs, aprovechamos esta nota informativa para que aumenten su precaución y no abran ningún fichero anexado a un mail no esperado, aunque el antivirus no se lo detecte como vírico...

Síntomas de infección

Cuando el virus está activo en el sistema, no es posible iniciar el sistema en “Modo seguro”, y también desactiva los residentes de seguridad (incluyendo el propio antivirus).

Lo peor de esta nueva familia, (las últimas ya lo hacían, pero con diferente nombre) es que se protegen con un RootKit que oculta la carpeta entera donde reside el gusano, que en este caso utiliza el nombre de HIDR.EXE, el cual no es visible en modo normal, y como que no permite arrancar en modo seguro, no es posible ver la carpeta, el RootKit ni el gusano cuando este ya está en memoria.

La ruta entera (sólo visible arrancando en “Modo seguro”) donde se instalan el RootKit y el gusano es :

Documents and Settings/<usuario>/Datos de Programa/HIDIRES/

el nombre del fichero donde reside el RootKit es M_HOOK.SYS y el nombre del fichero gusano de estas tres nuevas variantes de W32/Bagle es HIDR.EXE, los cuales repetimos que no son visibles con el virus en memoria porque el RootKit los oculta.

Con nuestra utilidad ELIBAGLA v10.08 ya se controla y elimina tanto el RootKit en cuestión como el gusano, la carpeta, y además restaura las claves permitiendo volver a arrancar en “Modo seguro” si se desea.

Detección y eliminación

Para su eliminación se recomienda descargar y ejecutar nuestra utilidad ELIBAGLA.

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   08 de Febrero de 2007

Anterior