Variante de Bagle y tiempos de reacción antivirus

Pasadas las primeras horas de propagación de la nueva variante de Bagle, donde el número de incidencias fue muy significativo, los últimos indicadores muestran un descenso considerable de su actividad, alejando las posibilidades de epidemia.

Otras actividades

También intenta eliminar de la memoria del sistema infectado los siguientes procesos, que corresponden a otros gusanos y productos antivirus, para impedir que puedan detectarlo o afectar a su funcionamiento:

FIREWALL.EXE

ATUPDATER.EXE

winxp.exe

sys_xp.exe

sysxp.exe

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

El gusano también intenta la descarga de un archivo .JPG desde varias direcciones web que incluye en su código. Este archivo JPG es en realidad un ejecutable que actúa como backdoor o puerta trasera quedando a la escucha en los puertos TCP y UDP 80, permitiendo al atacante hacerse con el control de los sistemas y utilizarlos para el envío de spam.

En cuanto al registro de Windows, incluye la típica entrada en Run para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

win_upd.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

win_upd.exe

Adicionalmente incluye las entradas:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

erthgdr

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRu1n