Nueva propagación de variantes del Bagle

Durante esta semana hemos visto una nueva propagación del ya veterano código malicioso del tipo gusano Bagle. En esta ocasión los síntomas de la infección eran bastante visibles ya que intentaba detener los software antivirus instalados en el sistema, provocaba reinicios aleatorios y no permitía el inicio en modo seguro de Windows.

La manera de propagarse era distribuyendo n-variantes de un Troyano de la clase downloader empaquetado con Themida (packer que suele ser bastante difícil de analizar). Este troyano se encarga de neutralizar los proceso residentes de los programas antivirus y de descargar de diversos servidores webs unos ficheros con extensión JPG que, en realidad son ejecutables con múltiples variantes del Bagle.

El hecho de que se creasen múltiples variantes en poco tiempo hizo que fuese difícil para las casas antivirus el detectarlas todas mediante la actualización de las bases de firmas. Asimismo, también dificultaban su desinfección.

En casos como este es cuando la heurística avanzada demuestra su verdadera eficacia, ya que se añadió una detección genérica por heurística para ir detectando y eliminando las múltiples variantes que aparecieron (y siguen apareciendo) como Win32/Bagle.gen.zip.

A continuación mostramos una imagen del servicio Virus Radar ofrecido por ESET, donde se pueden observar las oleadas de este gusano a lo largo de esta semana.

Aprovechamos la ocasión para recomendar este servicio que cualquier usuario puede usar para observar el estado de propagación de las amenazas actuales, prácticamente en tiempo real y proporcionado por sistema de alerta temprana ThreatSense.Net.

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..