Bagle.AQ,
també conegut com
Bagle.AM, es distribueix
per correu electrònic i també a través de xarxes d'intercanvi
d'arxius P2P, en un missatge amb el text
price o new price i adjuntant un arxiu ZIP de 5,94 kb,
que conté un fitxer EXE ocult i un html del mateix nom.
A més, allibera un component de porta del darrere, el qual a través dels
ports TCP i UDP 2480 (Deattle de Lingwood) estableix contacte
amb l'autor del virus i rep comandos en forma remota.
Aquesta versió de Bagle, a més, crea i executa una llibreria
DLL de 11.776 bytes de grandà ria en '%
systemdir%
dll.exe', que s'encarregarÃ
de deshabilitar tots els processos amb diferents noms.
Una nisaga que va començar fa set mesos
D'altra banda, tractarà de descarregar-se un fals fitxer JPG de diverses
URLs diferents. En realitat es tracta d'altre fitxer EXE
contenint la resta del cuc que, una vegada executat, procedirà a
propagar-se per correu electrònic a altres destinataris, segons
informa Panda Programari, que ha declarat el nivell d'alerta taronja.
Segons Luis Corrons, director de PandaLabs, Bagle.AQ és
la continuació d'una llarga sagazaga que va començar fa set mesos. A més de que
utilitza l'enginyeria social per a intentar enganyar a l'usuari
enviant-li un fitxer contenint, suposadament, preus o
contrasenyes, combina diferents mètodes d'infecció.
La consultora independent de seguretat Hispasec recomana als
usuaris, com mesura preventiva, i aprofitant que el cuc és
fà cilment recognoscible pel seu aspecte més extern, eliminar
directament qualsevol missatge de les caracterÃstiques descrites.