Nueva propagación de variantes del Bagle
Durante esta semana hemos visto una nueva propagación del ya veterano código malicioso del tipo gusano Bagle. En esta ocasión los síntomas de la infección eran bastante visibles ya que intentaba detener los software antivirus instalados en el sistema, provocaba reinicios aleatorios y no permitía el inicio en modo seguro de Windows.
La manera de propagarse era distribuyendo n-variantes de un Troyano de la clase downloader empaquetado con Themida (packer que suele ser bastante difícil de analizar). Este troyano se encarga de neutralizar los proceso residentes de los programas antivirus y de descargar de diversos servidores webs unos ficheros con extensión JPG que, en realidad son ejecutables con múltiples variantes del Bagle.
El hecho de que se creasen múltiples variantes en poco tiempo hizo que fuese difícil para las casas antivirus el detectarlas todas mediante la actualización de las bases de firmas. Asimismo, también dificultaban su desinfección.
En casos como este es cuando la heurística avanzada demuestra su verdadera eficacia, ya que se añadió una detección genérica por heurística para ir detectando y eliminando las múltiples variantes que aparecieron (y siguen apareciendo) como Win32/Bagle.gen.zip.
A continuación mostramos una imagen del servicio Virus Radar ofrecido por ESET, donde se pueden observar las oleadas de este gusano a lo largo de esta semana.
Aprovechamos la ocasión para recomendar este servicio que cualquier usuario puede usar para observar el estado de propagación de las amenazas actuales, prácticamente en tiempo real y proporcionado por sistema de alerta temprana ThreatSense.Net.
Josep Albors
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.