- Un nuevo virus, Bagle.AM, amenaza Internet - Virus Alerts, por Panda Software (http://www.pandasoftware.es)MADRID, 10 de agosto de 2004 - En las últimas horas, un nuevo virus de lafamilia del conocido Bagle, que nació en enero de este año, ha comenzado apropagarse y a infectar a numerosos usuarios: Bagle.AM, también conocidocomo Bagle.AQ y WORM_BAGLE.AC. Debido al alto número de incidencias entrelos equipos de los usuarios, Panda Software ha declarado el nivel de alertanaranja. Los clientes de Panda Software que tienen ya instaladas las nuevasTecnologías TruPrevent han estado protegidos de forma preventiva, ya que hansido capaz de detectar y bloquear al nuevo virus sin necesidad de conocerlocon anterioridad (más información sobre las nuevas Tecnologías TruPrevent enwww.pandasoftware.es/truprevent). Según Luis Corrons, director de PandaLabs, "Bagle.AM es la continuación deuna larga saga que comenzó hace 7 meses. Además de que utiliza la ingenieríasocial para intentar engañar al usuario enviándole un fichero conteniendo,supuestamente, precios o passwords, combina diferentes métodos de infección.No es de descartar que en las próximas horas sigan sucediéndose lasincidencias, situación que se agrava por la época del año en que nosencontramos, en la que muchos países disfrutan de tiempo libre para podernavegar y disfrutar de Internet."El nuevo virus Bagle.AM se propaga mediante correo electrónico y envía unarchivo ZIP de aproximadamente 6 Kbytes que contiene un fichero EXE oculto yun html del mismo nombre. Si el usuario ejecuta el HTML se lanzará el EXEoculto. Este fichero ejecutable se copia a sí mismo en el sistema y crea dosentradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = %systemdir%\WINdirect.exeHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = %systemdir%\WINdirect.exeAdemás, Bagle.AM crea y ejecuta una librería DLL de 11.776 bytes de tamañoen: %systemdir%\_dll.exe, que se encargará de deshabilitar todos losprocesos con los siguientes nombres:FIREWALL.EXE ATUPDATER.EXE winxp.exe sys_xp.exe sysxp.exe LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE NUPGRADE.EXE MCUPDATE.EXE Por otro lado, tratará de descargarse un falso fichero JPG de varias URLsdiferentes. En realidad se trata de otro fichero EXE conteniendo el restodel gusano Bagle.AM que, una vez ejecutado, procederá a propagarse porcorreo electrónico a otros destinatariosAnte la posibilidad de un encuentro con Bagle.AM, Panda Software recomiendaextremar las precauciones y mantener actualizado el software antivirus. Losclientes de Panda Software ya tienen a su disposición las correspondientesactualizaciones para la detección y desinfección de este nuevo códigomalicioso.Los clientes de Panda Software ya tienen disponibles las actualizacionespara instalar las nuevas Tecnologías TruPrevent junto con su antivirus yestar, así, protegidos de forma preventiva frente a éste u otros nuevoscódigos maliciosos. Por otro lado, para usuarios que cuenten con otrosantivirus del mercado, Panda TruPrevent Personal es la solución idónea, yaque es compatible y complementario a éstos y proporciona una segunda líneade defensa y una protección preventiva que actúa mientras el antivirus esactualizado, disminuyendo el riesgo de ser infectados. Más información sobrelas Tecnologías TruPrevent en www.pandasoftware.es/truprevent. Más información sobre Bagle.AM u otras amenazas informáticas en laEnciclopedia de Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/Para la detección y desinfección gratuita de los ordenadores pueden utilizarel antivirus on-line Panda ActiveScan, disponible enhttp://www.pandasoftware.es