Los gusanos Bagz.H y Mitglieder.AY, así
como el troyano Citifraud.A, centran la atención del informe sobre virus e
intrusos de la presente semana.

Bagz.H se propaga empleando el correo electrónico. Para ello, en los equipos
a los que afecta, busca direcciones en archivos con extensiones DBX, TXT,
HTM, TBB o TBI que se encuentren en el ordenador. Sin embargo, no se envía a
todas las que obtiene, ya que evita aquellas direcciones que contengan
cadenas de texto como abuse, admin. o administrator@, entre otras.

Los mensajes de correo electrónico en los que Bagz.H se envía no tienen un
formato determinado, ya que tanto el asunto como el cuerpo de texto, así
como el nombre del archivo adjunto, son muy variables. En caso de que el
usuario ejecute dicho fichero adjunto, Bagz.H se instala como un servicio
llamado Xuy v palto. Además, el gusano modifica el fichero de hosts de
Windows, de manera que impide el acceso a determinadas direcciones de
Internet.

Por otra parte, Bagz.H borra las entradas del registro de Windows
correspondientes a ciertas aplicaciones antivirus y de seguridad, e
introduce otras que le permitirán estar activo cada vez que se reinicie el
equipo.

Mitglieder.AY es un código malicioso estrechamente relacionado con los
gusanos Bagle.BC y Bagle. BE (detectados hace unos días), ya que aprovecha
los efectos de éstos para introducirse en los ordenadores directamente desde
Internet. Mitglieder.AY emplea las puertas traseras que ambas variantes de
Bagle crean en el puerto TCP 81. Así, Mitglieder.AY examina direcciones IP
en busca de algún equipo que tenga abierto dicho puerto. En caso de
encontrarlo, el gusano se introduce en el sistema y crea una copia de sí
mismo en un archivo llamado winshost.exe.

A partir de ese momento, Mitglieder.AY finaliza procesos en memoria
correspondientes a diversas aplicaciones. Además de ello, cada 6 horas
intenta descargar el fichero zoo.jpg desde un gran número de direcciones de
Internet predeterminadas. Si lo consigue, dicho archivo se almacena en el
equipo con el nombre File.exe. Éste último, cuando es ejecutado, se ocupa de
descargar otros tipos de malware.

Finalmente, el troyano Citifraud.A es, en realidad, un fichero escrito en
HTML que, aprovechando una conocida vulnerabilidad del navegador Microsoft
Internet Explorer, contiene un link que simula enlazar con una dirección de
una conocida entidad bancaria. Sin embargo, dicha dirección conduce a una
falsa página web que imita el aspecto de la original. De esta manera,
intenta conseguir que el usuario introduzca datos relativos a sus cuentas,
con los que un hacker puede llevar a cabo fraudes financieros.


Información adicional

- Puerto de comunicaciones/puerto: punto de acceso a un ordenador o medio a
través del cual tienen lugar las transferencias de información
(entradas/salidas), del sistema con el exterior y viceversa (vía TCP/IP).

- Vulnerabilidades: fallos o huecos de seguridad detectados en algún
programa o sistema informático, que los virus utilizan para propagarse e
infectar.