La red internacional de Soporte Técnico de Panda Software ya ha registrado algunas incidencias causadas por Bagle.BL en países como Holanda y USA, si bien, por sus características, es probable que el número de equipos afectados por ambos gusanos vaya en aumento. En base a ello, Panda Software ha declarado el estado de alerta naranja leve.
Los clientes de Panda Software que ya tienen instaladas las nuevas Tecnologías TruPrevent contra virus e intrusos desconocidos, han estado protegidos de forma preventiva desde el primer momento de la aparición de Bagle.BK y Bagle.BL, ya que han sido capaces de detectarlos y bloquearlos sin necesidad de conocerlos con anterioridad (más información sobre las nuevas Tecnologías TruPrevent en http://www.pandasoftware.es/truprevent).
Bagle.BK y Bagle.BL llegan a los ordenadores en mensajes de correo electrónico con direcciones de remite falsas, y cuyos asuntos son escogidos aleatoriamente a partir de una lista de opciones. Algunos ejemplos son: “Delivery by mail” o ”Delivery service mail”. Por su parte, en el cuerpo de texto pueden leerse frases como: “Before use read the help” o ”Thanks for use of our software”. Por su parte, los archivos adjuntos a los mensajes y que, en realidad, contienen el código de los gusanos, tienen nombre variable si bien su extensión siempre es COM, CPL, EXE o SCR.
Pueden consultarse todas las características de los mensajes en los que se propagan Bagle.BK y Bagle.BL en la Enciclopedia de Virus de Panda Software.
Para su propagación a través de aplicaciones P2P tipo KaZaA o Morpheus, ambos gusanos crean -en los directorios compartidos de dichos programas- copias de sí mismos con nombres como ACDSee 9.exe, Adobe Photoshop 9 full.exe o Ahead Nero 7.exe, entre otros. De esta manera, otros usuarios podrán descargarlos en sus equipos e infectarse en caso de que los ejecuten.
Sea cual sea la forma en que lleguen a los equipos, si un fichero conteniendo a cualquiera de los dos gusanos es ejecutado, estos se envían, utilizando su propio motor SMTP, a las direcciones de correo electrónico que puedan encontrarse en archivos con determinadas extensiones que estén almacenados en el ordenador. Sin embargo, evita mandarse a ciertas direcciones, relacionadas principalmente con compañías de software y de seguridad informática.
La acción más peligrosa que ambas variantes de Bagle llevan a cabo es la terminación de los procesos en memoria correspondientes a varias aplicaciones antivirus y de seguridad. Esto deja a los equipos desprotegidos frente a otros posibles ataques.
Asimismo, introducen varias entradas en el registro de Windows con el fin de asegurar su ejecución cada vez que se reinicie el sistema, y borran otras que puedan existir y que hayan sido creadas como consecuencia de ataques de algunas variantes del gusano Netsky.
Ante la alta probabilidad de un encuentro con Bagle.BK y BagleBL, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.
Asimismo, los clientes de Panda Software ya tienen disponibles las actualizaciones para instalar las nuevas Tecnologías TruPrevent junto con su antivirus y estar, así, protegidos de forma preventiva frente a éstos u otros nuevos códigos maliciosos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPrevent Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPrevent en http://www.pandasoftware.es/truprevent.
Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en http://www.pandasoftware.es
Más información sobre Bagle.BK y Bagle.BL en la Enciclopedia de Virus de Panda Software.
