Eset, proveedor global de protección antivirus de última generación, lanza informe sobre el gusano Bagle, el cual tuvo una semana con una elevada tasa de detección debido a una nueva propagación de distintas variantes del gusano, encabezada por el Bagle.GK.

En el informe, realizado por el Lic. Cristian Borghello, Technical & Educational Manager de Eset para Latinoamérica, se explica el funcionamiento de la amenaza, así como también la historia del gusano y sus técnicas de propagación. El creador del gusano no sólo realiza ataques masivos por correo a través de diversas variantes, sino que también aprovecha eventos mundiales de gran importancia para tomar desprevenido al usuario.

Los integrantes de la familia Bagle suelen constar de dos partes: el archivo adjunto a los mensajes y uno o más troyanos que son descargados de Internet por el primero. Estos troyanos abren una puerta trasera en la máquina infectada a fin de que está pueda ser utilizada con fines maliciosos. Finalmente, su método de propagación puede ser por correo electrónico o a través de redes P2P.

"El gusano Bagle es una de las amenazas de correo electrónico de mayor propagación de los últimos tiempos. Por este motivo, consideramos importante que los usuarios conozcan a fondo su funcionamiento y sus métodos de propagación, ya que esto nos ayudaría a prevenirnos ante futuros ataques de este código malicioso", concluyo Borghello.

Para los que estén interesados en leer en el informe completo, pueden descargarlo en formato PDF: http://www.nod32-la.com/download/informe-bagle.pdf.

Por otra parte Eset informó sobre la aparición de un troyano, de la familia IRCBot, propagándose a través de medios como el mensajero instantáneo de America Online.

Este troyano fue detectado automáticamente a través del motor heurístico ThreatSense, de Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual protegió proactivamente a los usuarios del producto en todo momento contra este código malicioso, al no precisar de una actualización para reconocer el nuevo malware.

Este nuevo miembro de la familia de códigos maliciosos IRCBot, detectado como W32.Cuebot-K y BKDR-IRCBOT.DB por las firmas actualizadas de otros productos antivirus, al ser ejecutado e instalado, simula ser la herramienta contra la piratería de Microsoft, llamada Windows Genuine Advantage (WGA).

Este programa de la empresa de Redmond fue recientemente criticado por su funcionamiento, y los autores del troyano han intentando aprovecharse del conocimiento de los usuarios de su existencia para que su creación pase como un software legítimo al ser instalado.

La peligrosidad del código malicioso radica en que es capaz de deshabilitar funciones de seguridad del sistema operativo, como el firewall y otras partes del Centro de Seguridad de Windows. Además, este nuevo IRCBot funciona como una puerta trasera (backdoor), permitiendo que usuarios no autorizados accedan a los equipos infectados para realizar actividades acciones como descargar nuevos malware, lanzar ataques de denegación de servicios (DoS) contra objetivos específicos, y otras actividades que comprometen la seguridad del sistema.

"Como la gran mayoría de los códigos maliciosos que se descubren a diario, esta nueva versión de la familia IRCBot es utilizado para controlar redes de equipos infectados a fin de utilizarlos para fines oscuros", comentó Ignacio M. Sbampato, Vicepresidente de Eset para Latinoamérica. "Lo que hay que destacar es que nuestros usuarios estuvieron protegidos en todo momento contra esta nueva amenaza, dado que Eset NOD32 lo detectó proactivamente, gracias a nuestra heurística avanzada, y evitando que sus equipos se infecten sin necesidad de ninguna acción adicional".

Ante este tipo de amenazas informáticas, es importante que los usuarios cuenten con un antivirus con capacidades heurísticas y proactivas, a fin de tener una protección fuerte contra los nuevos códigos maliciosos que aparecen a diario, además de no aceptar archivos que les intentan ser enviados a través de mensajeros instantáneos sin haberlos solicitados o corroborado que realmente provienen de sus contactos.