Bagle ataca sin mostrar adjuntos, ¡y no hay parches!

Imagen de guigo

Tema: 

Cuatro nuevas variantes del gusano Bagle (hasta ahora), han empezado a propagarse desde la mañana del 18 de marzo de 2004. Por sus características, podrían ser un serio riesgo a la seguridad de los usuarios de Internet.

Todas estas variantes (identificadas como Bagle Q, R, S y T por la mayoría de los fabricantes de antivirus), utilizan métodos diferentes de infección, en un intento de eludir la protección antivirus y los filtros de correo.

El gusano se propaga a través de un mensaje que no contiene adjunto ni virus alguno, por lo que no suele ser identificado como malicioso. Solo contiene una corta instrucción en código HTML.

Cuando el usuario abre este mensaje, el mismo intenta aprovecharse de una vulnerabilidad en el Internet Explorer (al abrir una ventana pop-up), que permite la descarga automática y posterior ejecución, de un código Visual Basic Script, desde una de más de 600 máquinas infectadas previamente (seguramente conectadas a Internet las 24 horas por medio de ADSL, cable módem, etc.).

Este script descarga también vía HTTP (un acceso web común), utilizando el puerto TCP/81 (el estándar es el 80), el código del gusano propiamente dicho, desde otra computadora infectada.

El mensaje del gusano, puede aparecer en la bandeja de entrada, y no es peligroso hasta que es abierto. Pero sí puede serlo si se tiene la ventana del panel de vista previa activada (se recomienda desactivarla desde Ver, Diseño, Panel de vista previa).

La dirección del remitente es falsa, de modo que podría parecer que lo envía un conocido.

El mensaje, en inglés, simula alguna clase de notificación. Estos son algunos de los asuntos conocidos:

Account notify
Attachment: None
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Pass - [dominio del usuario]
Password - [dominio del usuario]
Password: [dominio del usuario]
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account.

Algunos asuntos y el propio cuerpo del mensaje, mencionan el dominio del usuario. Dicho de otra forma, si usted tiene una dirección tipo "nombre@midominio.com", el mensaje hará referencias a "midominio.com", con la intención de hacerlo más creíble.

Es muy importante que si sospechamos de un mensaje de este tipo, intentemos borrarlo, PERO SIN ABRIRLO EN NINGUN MOMENTO. De hacerlo, se produce la descarga del resto del código del gusano. Ello también ocurre si lo vemos en el panel de vista previa, y aún con el parche que supuestamente corrige esta vulnerabilidad (MS03-040, http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx)

Se recomienda utilizar cortafuegos para no permitir la conexión desde el puerto usado por el gusano para la descarga (TCP/81).

También se pueden desactivar los ActiveX. Una configuración recomendada, es la que sugiere el sitio uruguayo VSAntivirus en el siguiente enlace:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Sin embargo, tenga en cuenta que estos gusanos, también finalizan la ejecución de una gran cantidad de procesos activos, entre los que se encuentran antivirus, cortafuegos y otras utilidades del propio Windows, dejando al usuario desprotegido ante otras amenazas, además de dificultar la eliminación del propio gusano.

Cómo versiones anteriores, Bagle también infecta archivos .EXE, provocando que cada vez que se ejecute un archivo infectado, se vuelva a infectar nuestro equipo.

Pero lo más peligroso es que el parche que supuestamente corrige esta vulnerabilidad, no funciona correctamente, y el gusano puede funcionar a pesar de tener el Internet Explorer al día. Ello ocurre aún cuando usemos otro navegador por defecto. Las recomendaciones anteriores (desactivar ActiveX, etc.), ayudan a minimizar el riesgo, sin embargo, se sugiere tener actualizado su antivirus, si es posible con una actualización automática cada 60 minutos como promedio, ya que seguramente surgirán nuevas variantes en las próximas horas.

Comentarios

Re: Bagle ataca sin mostrar adjuntos, ¡y no hay parches!

Imagen de Epe

Es por esto siempre muy recomendable seguir dos simples reglas:
1- usar un revisor de contenidos, no solo un antivirus, es sorprendente como la gente compra o instala antivirus para linux sin pensar que el contenido no tiene que ser virus, sino puede ser un contenido malicioso como una URL.

2- usar aplicaciones alternativas para navegar y/o leer correos, etc.

saludos
epe

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre