Pese a tratarse de variantes del mismo código malicioso, los tres nuevos miembros de la familia de gusanos Bagle presentan algunas diferencias entre sí. Por ejemplo, para propagarse Bagle.AA emplea mensajes de correo electrónico -de características variables- que contienen imágenes en ficheros adjuntos con extensión JPEG. Por su parte, Bagle.AB, además del correo electrónico, también puede usar aplicaciones para intercambio de ficheros punto a punto (P2P).
A diferencia de las dos variantes anteriores, Bagle.Z no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario malicioso. Así, los medios que pueden emplearse para ello son variados: disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, etc.
Las tres variantes de Bagle pueden conectarse a páginas web que albergan un script PHP, que permite notificar a su autor que el ordenador ha sido afectado. Además, están diseñados para terminar los procesos en memoria correspondientes a programas antivirus y firewalls, así como a diversos gusanos.
Netsky.AA y Netsky.AB son dos variantes muy similares. Ambas se propagan a través de mensajes de correo electrónico de características variables. Sin embargo, siempre incluyen un archivo adjunto con la extensión PIF. Entre las características que les diferencian puede mencionarse que, cuando es ejecutado, Netsky.AA muestra un mensaje de error en pantalla, o que Netsky AB es capaz de eliminar entradas del registro de Windows generadas como consecuencia de la infección por parte de otros gusanos como Bagle.
Gimared.A es un código malicioso que se propaga a través del correo electrónico. En caso de que sea ejecutado en sistemas que funcionen bajo Windows, mostrará una pantalla con un mensaje referente a la situación política y social en Cuba, país de origen de este gusano.
Un dato curioso de Gimared.A es que envía un correo electrónico al usuario del ordenador que acaba de infectar, avisándole de su presencia en el equipo.
Gaobot.PX es un gusano peligroso capaz de llevar a cabo múltiples acciones. Ello se debe a que está diseñado para aprovechar varías vulnerabilidades de Windows, así como para utilizar las puertas traseras que instalan los gusanos Bagle y Mydoom en los equipos afectados.
Una vez en el ordenador, Gaobot.PX finaliza un gran número de procesos en memoria, muchos de ellos pertenecientes a programas antivirus y firewalls, por lo que deja al ordenador desprotegido frente a otros ataques. Además, impide conectarse a las páginas web de muchos antivirus para evitar que estos puedan actualizarse.
Por otra parte, el gusano puede conectarse a canales de IRC desde donde puede recibir órdenes de usuarios maliciosos. De esta manera, puede descargar ficheros, ejecutar comandos o actualizarse. Asimismo, puede robar datos confidenciales, obtener información del sistema e, incluso, llevar a cabo ataques de denegación de servicio distribuidos (DdoS).
Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Información adicional
– Script: este término hace referencia a aquellos ficheros o secciones de código escritas en algún lenguaje de programación, como Visual Basic Script (VBScript), JavaScript, etc.
– IRC: son las siglas de Internet Relay Chat, un sistema que permite a los usuarios comunicarse por escrito y en tiempo real. Está basado en la tecnología cliente-servidor, por lo que para poder usarlo es necesario un programa (cliente) que establezca una conexión con el equipo (servidor) que brinda el servicio.
