03 septiembre 2004 10:19 hrs
por: Trend Micro
Los 10 códigos maliciosos más detectados en el mundo, según Trend Micro
TRen Micro © Derechos Reservados
Más Bagle para todos. WORM_BAGLE.AI (Riesgo Medio)
WORM_BAGLE.AI
Un gusano informático que llega a las computadoras a través del correo electrónico, como un archivo comprimido en formato .ZIP.
Es muy similar a la variedad AC de esta familia: no envía directamente el código del gusano en el archivo adjunto del mensaje de correo electrónico, sino que en él viaja un script en lenguaje HTML, que se ejecuta a sí mismo y, al hacerlo, dispara también la instalación de un Troyano. Es este troyano el que descarga el gusano desde diversos sitios de Internet, como un archivo de imagen en formato .JPG.
Este archivo es guardado en el directorio de Windows con el nombre _RE_FILE.EXE. El gusano interrumpe algunos procesos de productos antivirus que corren en la memoria del sistema infectado. Corre en Windows 95, 98, ME, NT, 2000, y XP.
Detalles
Para infectar una máquina se necesita que el usuario abra el archivo en formato .ZIP que tiene adjunto el correo electrónico.
Al hacer esto, se ejecuta un script en lenguaje HTML que deposita una copia de sí mismo llamada DORIOT.EXE, en la carpeta del sistema de Windows, donde también descarga un ejecutable llamado GDQFW.EXE, que es un programa Caballo de Troya. Para asegurar que se arrancará en cada inicio del sistema, crea dos entradas en el registro.
Al ejecutarse el troyano, su función es descargar aproximadamente 131 archivos. Estos archivos se encuentran en una larga lista de sitios Web ubicados en Rusia, Ucrania, Polonia, Kenya, Israel y la República Checa, entre otros países, y tienen el formato de una imagen .JPG.
Los archivos se guardan en la carpeta de Windows con el nombre _RE_FILE.EXE. El troyano también es el responsable de crear una hilera de instrucciones que demandan al sistema cada segundo la terminación de diversos procesos que corren en memoria y que corresponden la mayoría de ellos a aplicaciones de protección antivirus.
Cuando el sistema infectado corre en Windows 2000, XP o 2003 Server, BAGLE.AI suspende e inhabilita además los servicios de Cortafuegos de la Conexión de Internet (Internet Connection Firewall - ICF) y Conexión Compartida de Internet (Internet Connection Sharing - ICS).
Los clientes de los productos y servicios de seguridad y prevención de virus de Trend Micro, deben actualizarlos con el patrón de virus de Trend Micro número 2.169.02 ó superiores para prevenir infecciones de WORM_BAGLE.AI. El script HTML es detectado con el nombre HTML_BAGLE.AI. Otros usuarios de Internet, pueden detectar este virus y miles de gusanos, troyanos y otros códigos maliciosos, usando HouseCall el rastreador de virus gratuito en línea de Trend Micro, al que se puede acceder desde: http://housecall.trendmicro.com/.
Para mayores detalles sobre los métodos para eliminar el gusano y sus variantes de sistemas infectados, por favor consulte la siguiente liga:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AI
Ver VideoIr a GaleríaVer Blog