El virus Bagle.GS. descarga y ejecuta otros archivos

Caballo de Troya que descarga y ejecuta otros componentes de la familia del gusano Bagle.

Cuando se ejecuta, crea varios archivos en el sistema infectado, y luego intenta conectarse a una lista de sitios en Internet, desde donde descarga determinados archivos.

Los componentes descargados pueden funcionar como repetidores de correo electrónico para el envío de spam. Normalmente esto es utilizado para propagar nuevas versiones del Bagle.

Abre un determinado puerto en las máquinas infectadas, por donde puede recibir instrucciones.

Finaliza determinados procesos pertenecientes a antivirus y otras aplicaciones de seguridad, si alguno de ellos se encuentra activo en la máquina infectada.

Al ejecutarse, el troyano crea la carpeta "m" y el siguiente archivo:

[Application Data]\m\flec006.exe

La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:

C:\Documents and Settings\[Usuario]
\Configuración local\Application Data

C:\WINDOWS\Application Data

Se conecta a un servidor remoto, y descarga una lista de nombres de archivos. La lista es copiada con el siguiente nombre:

[Application Data]\m\list.oct

También descarga una lista de otros servidores y puertos a los que luego intentará conectarse:

[Application Data]\m\srvlist.oct

El troyano generará luego copias de si mismo o de otros componentes descargados, comprimidas como .ZIP, con nombres tomados de la lista presente en LIST.OCT. Esos archivos serán puestos en la siguiente subcarpeta, también creada por el troyano:

[Application Data]\m\shared\

Las siguientes entradas son creadas en el registro, la primera de ellas para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mule_st_key = [Application Data]\m\flec006.exe

HKCU\Software\MuleAppData1