Cambio de estilo en las nuevas versiones de Bagle

marzo 18, 2004 Sophos Press Release

Sophos, un líder mundial en antivirus y anti-spam para empresas, advierte sobre un nuevo giro en la saga de los virus Bagle. Las nuevas variantes, W32/Bagle-Q y W32/Bagle-R utilizan un método de infección diferente con el fin de atravesar la barrera antivirus instalada en la pasarela de correo (email gateway).

A diferencia de la mayoría de los virus de email, los dos nuevos gusanos no transportan ficheros adjuntos haciendo más difícil su detección. El asunto en los mensajes infectados se selecciona aleatoriamente de esta lista:

Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document

Si un usuario abre el mensaje y su versión de Microsoft Outlook no ha sido actualizada con una revisión específica contra vulnerabilidades críticas publicada hace cinco meses, este código malicioso se descargaría automáticamente.

Una vez instalados, los gusanos detienen una gran cantidad de aplicaciones de seguridad exponiendo a tu equipo a más ataques de virus o posibles intrusiones de hackers. El gusano también intentará propagarse a través de las redes de intercambio de archivos e infectar otros ficheros ejecutables.

"Todos los usuarios de ordenadores deberían tomar precauciones ante este gusano. Ya hemos recibido informes desde diferentes lugares del mundo y en concreto de Korea, conocida especialmente por la utilización y su interés por esta tecnología", dice Graham Cluley, senior technology consultant de Sophos. "Estos gusanos aprovechan los agujeros en seguridad del popular sistema de correo Microsoft Outlook y podrían llegar a ser muy dañinos para su organización. Tanto particulares como empresas deberían asegurarse de que están protegidos contra estas vulnerabilidades".

Sophos recomienda a los usuarios que actualicen su software antivirus contra las últimas amenazas para evitar posibles infecciones. También deberían protegerse contra todas las vulnerabilidades de su sistema.

Las empresas pueden protegerse también configurando su cortafuegos (firewall) adecuadamente para evitar que los ordenadores de su red descarguen el gusano del exterior.

"Bagle despierta la necesidad de utilizar seguridad holística. Estando al día en cuestión de revisiones de seguridad, actualizando el software antivirus y asegurándose de que el cortafuegos está configurado convenientemente, los usuarios reducirán las posibilidades de infección", continua Cluley. "Si no te proteges contra este tipo de amenazas no te debería sorprender que un gusano te atacara por la espalda".

La revisión de seguridad contra esta vulnerabilidad de Microsoft Outlook la puede encontrar en: www.microsoft.com/technet/security/bulletin/MS03-040.mspx. Usuarios domésticos de Microsoft Windows pueden visitar windowsupdate.microsoft.com para escanear sus sistemas en busca de vulnerabilidades de seguridad.

Sophos recomienda tomar las siguientes precauciones contra los gusanos W32/Bagle-Q y W32/Bagle-R:

  • Obtener e instalar las últimas revisiones de seguridad de Microsoft para Internet Explorer y Outlook Express. De esta manera se impide la descarga automática del virus.
  • Bloquear el puerto de comunicaciones TCP 81 mediante un cortafuegos. Bloqueando el tráfico saliente por el puerto 81 se evita que los equipos de la red descarguen el gusano del exterior y bloqueando el tráfico entrante se consigue que cuando su ordenador se infecte no contamine a los demás equipos de la red.