Aparece una nueva variante del virus Bagle "H.E."

usano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".

El primero es un "downloader", un troyano que probablemente es enviado en forma de spam, y que descarga otro de los componentes del gusano.

Cuando el downloader se ejecuta, descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo:

c:\windows\system32\[nombre].exe

Este archivo es el componente que se encarga del envío masivo de mensajes desde la máquina infectada (mass-mailer).

Los mensajes enviados, tendrán como "Asunto:", uno de los siguientes:

new ??-???-????
price??-???-????
price_ ??-???-????
price_new ??-???-????

El nombre del archivo adjunto (un archivo .ZIP con contraseña), será uno de los siguientes:

new_price??-???-????.zip
price_list??-???-????.zip
latest_price??-???-????.zip

Donde ??-???-???? es la fecha de envío del mensaje en el siguiente formato:

30-Nov-2006

El texto del mensaje será uno de los siguientes:

It Is Protected
Passwrd: [imagen]

thank you !!!
Passwrd: [imagen]

New year's discounts
Passwrd: [imagen]

Donde [imagen] es una imagen con la contraseña de 6 dígitos que deberá ser ingresada para abrir el .ZIP.

Cuando el adjunto es abierto por el usuario, y el .EXE contenido en el .ZIP ejecutado, se crearán los siguientes archivos en el sistema infectado:

[Application Data]\hidn\hidn2.exe
[Application Data]\hidn\hldrrr.exe

La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:

C:\Documents and Settings\[Usuario]
\Configuración local\Application Data

C:\WINDOWS\Application Data

Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[Application Data]\hidn\hidn2.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
drv_st_key = "[Application Data]\hidn\hidn2.exe"

También puede crear o modificar las siguientes entradas:

HKCU\Software\FirstRun

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "4"

El gusano puede descargar otras versiones de si mismo desde una lista predeterminada de direcciones de Internet.

También borra múltiples entradas del registro, relacionadas con otros gusanos, e intenta desactivar la ejecución de algunos servicios relacionados con programas de seguridad.

Las máquinas infectadas, pueden ser utilizadas como proxys, para el envío de nuevas versiones del gusano en forma de spam.