En las últimas horas se ha detectado una gran propagación por e-mail
de una nueva variante de Bagle. Se distribuye por correo electrónico
en un mensaje con el texto «price» o «new price» y adjuntando un
archivo ZIP de 5,94Kb.
Hasta el momento todos los mensajes reportados coinciden en que el
campo asunto aparecen en blanco, el cuerpo contiene el texto «price»
o «new price», y como archivo adjunto hay diferentes variantes
que tienen en común la cadena «price»: «price.zip», «price2.zip»,
«price_new.zip», «price_08.zip», «08_price.zip», «newprice.zip»,
«new_price.zip» o «new__price.zip».
Como medida preventiva, y aprovechando que el gusano es fácilmente
reconocible por su aspecto más externo, los usuarios deben de eliminar
directamente cualquier mensaje que reciban con las características
anteriores. Los administradores de servidores de correo también
pueden aplicar sencillas reglas para filtrarlo y evitar que llegue a
los buzones de los usuarios.
Una detección temprana de este nuevo espécimen ha sido posible gracias
a los numerosos envíos de los mensajes infectados que los usuarios,
sospechando de que se trataba de un gusano, han enviado al servicio
VirusTotal (http://www.virustotal.com) de Hispasec.
En estos momentos todos los laboratorios antivirus se encuentran
analizando el gusano, y se espera que en breve comiencen a
proporcionar las actualizaciones específicas.
En una próxima entrega, como es habitual, publicaremos un análisis
de este nuevo gusano, junto con los tiempos de reacción de cada
solución antivirus, así como de aquellos motores que lo detectaban
desde un primer momento gracias a sus firmas genéricas y/o heurística.
bernardo@hispasec.com
Más información:
New Bagle (?) Variant Spreading
http://www.incidents.org/diary.php?date=2004-08-09
Deja una respuesta