McAfee AVERT Informa Nuevo Virus Bagle In-the-Wild
BEAVERTON, Oregon, 16 de julio de 2004. McAfee, Inc. (NYSE:
MFE), el principal proveedor de soluciones para la prevención
de intrusos, anunció hoy que McAfee® AVERT™ (Anti-Virus and Vulnerability
Emergency Response Team), la división de investigación de clase
mundial perteneciente a McAfee®, aumentó a nivel Medio en Observación
la clasificación de riesgo del recientemente descubierto W32/Bagle.af@MM,
también conocido como Bagle.af. Esta nueva variante es un gusano
que envía mensajes masivos y que viene en la forma de un archivo
.ZIP protegido por contraseña, la cual se incluye en el cuerpo
del mensaje como texto normal o dentro de una imagen.
Hasta ahora, McAfee AVERT ha recibido cerca de 150 informes del
virus en un período de tiempo relativamente corto, los cuales
han sido detenidos o han infectado a los usuarios del rubro. El
mayor número de archivos infectados se ha registrado en Estados
Unidos. Este nivel de actividad ha generado que McAfee AVERT etiquete
el virus con la clasificación Riesgo Medio en Observación, ya
que esta variante de la familia Bagle tiene grandes posibilidades
de convertirse en una amenaza de alto riesgo. Las muestras recibidas
por McAfee AVERT han provenido de los usuarios y no del virus,
al igual que otros informes del virus Bagle.
Visión General de la Amenaza
Bagle.af es una amenaza que envía mensajes masivos y que cuenta
con su propio motor SMTP para crear mensajes salientes. Esta amenaza
recolecta direcciones de los archivos locales y luego las utiliza
en el campo "De" para autoenviarse. Esto crea un mensaje
con una dirección falsificada en el campo De. El documento adjunto
puede ser un archivo .zip protegido por contraseña, la cual se
incluye en el cuerpo del mensaje. Además, cuenta con un componente
de acceso remoto (que envía una notificación al hacker) y utiliza
nombres de mutex de variantes del W32/Netsky para evitar que aquellas
variantes se ejecuten en equipos infectados.
Patología de la Amenaza
Luego de ejecutarse, Bagle.af se copia a sí mismo en el directorio
Windows System (C:\WINNT\SYSTEM32\sysxp.exe). El gusano también
crea sysxp.exeopen y sysexpopenopen en este directorio, para realizar
sus funciones. La siguiente clave de registro se agrega para enganchar
al inicio del sistema:
-- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"key" = "C:\WINNT\SYSTEM32\sysxp.exe"
Bagle.af también se copia a sí mismo en carpetas que contienen
la frase "shar" en el nombre, como aplicaciones comunes
para compartir archivos; KaZaa, Bearshare, Limewire, etc. El gusano
se autoenvía por correo electrónico a direcciones que encuentra
en el host infectado, en la forma de un archivo .zip protegido
por contraseña, la cual se incluye en el cuerpo del mensaje.
Protección del Sistema y Cura
Para obtener información inmediata sobre Bagle.af y una cura para
este gusano, consulte el sitio de McAfee AVERT, ubicado en http://vil.nai.com/vil/content/v_126792.htm.
McAfee AVERT aconseja a sus clientes que realicen una actualización
a los DAT 4377 para seguir contando con protección contra todas
las amenazas Bagle actuales.
McAfee AVERT Labs es una de las organizaciones de investigación
antivirus y antivulnerabilidad más respetada del mundo y emplea
a investigadores en trece países, en cinco continentes. McAfee
AVERT combina la investigación de clase mundial de antivirus y
códigos maliciosos con la experiencia de la prevención de intrusos
e investigación de vulnerabilidades de las organizaciones McAfee®
IntruShield® y McAfee® Entercept®, dos divisiones de investigación
que fueron adquiridas a través de IntruVert Networks y Seguridad
de Entercept. McAfee AVERT protege a los clientes proporcionando
curas que se desarrollan en un esfuerzo conjunto de los investigadores
de McAfee AVERT y la tecnología de McAfee AVERT AutoImmune, que
aplica heurística avanzada, detección genérica y tecnología ActiveDAT
con el fin de generar las curas para virus anteriormente desconocidos.
Acerca de McAfee, Inc.
Con su oficina principal ubicada en Santa Clara, California, McAfee,
Inc. (NYSE: MFE) desarrolla las mejores soluciones de seguridad
para computadoras del mercado, las cuales evitan la intrusión
en redes y protegen los sistemas computacionales frente a la próxima
generación de amenazas y ataques combinados. Los clientes de McAfee
incluyen a grandes empresas, gobiernos, medianas y pequeñas empresas
y consumidores. Si desea más información, puede comunicarse con
McAfee, Inc. por teléfono llamando al 1 786 388 3900 o por Internet
en www.mcafee.com.mx <http://www.mcafee.com.mx>
NOTA: McAfee y AVERT son marcas registradas o marcas comerciales
de Network Associates, Inc. y/o sus afiliados en los Estados Unidos
y otros países. El Rojo en conexión con seguridad es distintivo
de McAfee®. Todas las marcas comerciales registradas y no registradas
que aparecen en este documento son de exclusiva propiedad de sus
respectivos dueños.
Fotografía: NewsCom: <http://www.newscom.com/cgi-bin/prnh/19991104/NETALOGO>
Archivo de Prensa Asociada: <http://photoarchive.ap.org>
PRN Photo Desk, 1-888-776-6555 ó +1-212-782-2840
Sitio Web: www.mcafee.com.mx
