Se ha detectado en las últimas horas un aumento significativo del
número de mensajes infectados con "Bagle", un nuevo gusano que viene
con fecha de caducidad, ya que dejará de propagarse el 28 de enero.

El formato del mensaje en el que viaja "Bagle" permite a los usuarios
reconocerlo a simple vista, ya que en esta primera versión del gusano
(de momento única) utiliza algunos textos fijos:

Asunto: Hi
Cuerpo:
Test =)
[caracteres aleatorios]
--
Test, yep.

Adjunto: [nombre aleatorio].exe

El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, 
construye su nombre de forma aleatoria, con una longitud que puede 
variar de 3 a 11 caracteres, y se presenta con el icono de la 
calculadora de Windows.
Cuando un usuario lo ejecuta, y siempre que la fecha del sistema no
sea igual o mayor al 28 de enero de 2004, el gusano ejecuta la
calculadora de Windows para que el usuario no sospeche y crea que
en realidad se trata de esta utilidad. Sin embargo, sin que el usuario
pueda percatarse a simple vista, "Bable" comenzará su rutina de
infección y propagación.
En primer lugar se copia en el directorio de sistema de Windows como
bbeagle.exe e introduce la siguiente entrada en el registro de Windows
para asegurarse su ejecución en cada inicio de sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
Adicionalmente crea las siguientes entradas:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
La propagación se realiza a través de su propio motor SMTP, buscando
las direcciones a las que autoenviarse en los archivos del sistema
con extensión .wab, .txt, .htm y .html. Además, para dificultar la
labor de detectar los sistemas infectados desde los que se envía,
"Bable" falsea la dirección de remitente.
El gusano lleva en su código una serie de textos, que corresponden a
dominios, de forma que evita enviarse a las direcciones que los
contengan: @hotmail.com, @msn.com, @microsoft y @avp.
"Bable" también incluye capacidades de backdoor o puerta trasera,
ya que abre en los ordenadores infectados el puerto TCP 6777 para
permitir el acceso remoto. El gusano incluye en su código una rutina
que se conectaba a diferentes sitios para intercambiar datos, si
bien todas las páginas PHP a las que hacía referencia han sido
anuladas.
La reacción de las diferentes casas antivirus en proporcionar la
actualización pertinente a sus usuarios para que pudieran reconocer
a "Bagle" fue la siguiente:
Kaspersky el 18/01/2004 a las 15:03:52 como I-Worm.Bagle
NOD32 el 18/01/2004 a las 19:10:16 como Win32/Bagle.A
Sophos el 19/01/2004 a las 03:08:01 como W32/Bagle-A
TrendMicro el 19/01/2004 a las 03:25:55 como WORM_BAGLE.A
McAfee el 19/01/2004 a las 06:48:04 como W32/Bagle@MM
Norton el 19/01/2004 a las 07:24:13 como W32.Beagle.A@mm
Panda el 19/01/2004 a las 09:29:10 como W32/Bagle.A.worm
InoculateIT el 19/01/2004 a las 16:43:48 como Win32/Bagle.A.Worm



Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1912/comentar

Más Información:

I-Worm.Bagle
http://www.viruslist.com/eng/viruslist.html?id=789296

Win32/Bagle.A
http://www.nod32.com/msgs/baglea.htm

W32/Bagle-A
http://www.sophos.com/virusinfo/analyses/w32baglea.html

WORM_BAGLE.A
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.A

W32/Bagle@MM 
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965

W32.Beagle.A@mm
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html

Bagle.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=43789

Win32.Bagle.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38019