Durante esta semana hemos visto una nueva propagación del ya veterano código malicioso del tipo gusano Bagle. En esta ocasión los síntomas de la infección eran bastante visibles ya que intentaba detener los software antivirus instalados en el sistema, provocaba reinicios aleatorios y no permitía el inicio en modo seguro de Windows.
La manera de propagarse era distribuyendo n-variantes de un Troyano de la clase downloader empaquetado con Themida (packer que suele ser bastante difícil de analizar). Este troyano se encarga de neutralizar los proceso residentes de los programas antivirus y de descargar de diversos servidores webs unos ficheros con extensión JPG que, en realidad son ejecutables con múltiples variantes del Bagle.
El hecho de que se creasen múltiples variantes en poco tiempo hizo que fuese difícil para las casas antivirus el detectarlas todas mediante la actualización de las bases de firmas. Asimismo, también dificultaban su desinfección.
En casos como este es cuando la heurística avanzada demuestra su verdadera eficacia, ya que se añadió una detección genérica por heurística para ir detectando y eliminando las múltiples variantes que aparecieron (y siguen apareciendo) como Win32/Bagle.gen.zip.
A continuación mostramos una imagen del servicio Virus Radar ofrecido por ESET, donde se pueden observar las oleadas de este gusano a lo largo de esta semana.
Aprovechamos la ocasión para recomendar este servicio que cualquier usuario puede usar para observar el estado de propagación de las amenazas actuales, prácticamente en tiempo real y proporcionado por sistema de alerta temprana ThreatSense.Net.
Josep Albors