Nueva variante de Bagle, todavía no controlada del todo

[msc hotline sat]

Hemos tenido incidencias con un nuevo Bagle que llega por mail en un fichero ZIP que pretende ser una foto en un parque, y en dicho zip aparentemente hay un fichero con icono JPG que mirandolo con Acerca de resulta ser una aplicacion, siendo en realidad un gusano ejecutable variante del Bagle.



Ni McAfee ni CAI ni Symantec ni Norman, lo detectan todavía, si bien ya hemos enviado muestras del mismo y se espera que en breve serán controladas.



de momento el analisis con 19 antivirus del VirusTotal indica:


[quote="VirusTotal"]
Este es el resultado de analizar el archivo "F22-013.EXE" que VirusTotal ha procesado el dia 27/06/2005 a las 12:40:19 (CET)

.

[b]Antivirus Version Actualización Resultado [/b]



AntiVir 6.31.0.7 24.06.2005 Worm/Bagle.Gen

Avira 6.31.0.7 27.06.2005 Worm/Bagle.Gen

BitDefender 7.0 27.06.2005 Win32.Bagle.BQ@mm

ClamAV devel-20050501 27.06.2005 Worm.Bagle.BB-gen

DrWeb 4.32b 27.06.2005 Win32.HLLM.Beagle.36864

eTrust-Iris 7.1.194.0 26.06.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 27.06.2005 Win32.Glieder.AO

Fortinet 2.36.0.0 27.06.2005 W32/Bagle.BQ-mm

Ikarus 2.32 27.06.2005 Email-Worm.Win32.Bagle.BQ

Kaspersky 4.0.2.24 27.06.2005 Email-Worm.Win32.Bagle.bq

McAfee 4521 24.06.2005 no ha encontrado virus

NOD32v2 1.1155 26.06.2005 Win32/Bagle.BI

Norman 5.70.10 23.06.2005 no ha encontrado virus

Panda 8.02.00 26.06.2005 Suspect File

Sybari 7.5.1314 27.06.2005 Troj/BagleDl-R

Symantec 8.0 26.06.2005 no ha encontrado virus

TheHacker 5.8.2.060 27.06.2005 W32/Bagle.gen

VBA32 3.10.4 27.06.2005 Worm.Bagle.Gen
[/quote]

Como siempre mucho cuidado con los anexados a los mails, pero sabiendo que está progresando este un poco descontrolado, obrad en consecuencia



Nota, el anexado al mail venía con el nombre de In_park.zip



Ya estamos haciendo el ELIBAGLA para controlarlo, que subiremos hoy a esta web.





saludos



ms, 27-06-2005

[msc hotline sat]

Ya controlado con el ELIBAGLA.EXE v5.0 que hemos subido a esta web:



https://foros.zonavirus.com/viewtopic.php?t=7428



saludos



ms, 27-06-2005

[msc hotline sat]

Y con la version actual de McAfee DATS 4522, ya se controla como BAGLE.DLDR:



[quote="Con Dats 4522 el VirusScan de McAfee]

McAfee VirusScan for Win32 v4.40.0

Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - Sep 23 2004



Scan engine v4.4.00 for Win32.

Virus data file v4522 created Jun 27 2005

Scanning for 134040 viruses, trojans and variants.







06/28/2005 11:07:52





Options:

A: /ALL /REPORT A:INFORME.TXT



Scanning A: []

Scanning A:\*.*

A:\F22-013.EXE ... Found the W32/Bagle.dldr virus !!!



[/quote]



para el que han añadido en la descripcion del Bagle DLDR, lo siguiente:



"-- Update 26 June, 2005--

There was another round of mass-spamming, of a new Bagle downloader. Messages may contain an attachment with one of the following names:



Legs.zip

original.zip

In_park.zip

The ZIP files contain a file named f22-013.exe (36,864 bytes)

MD5: 0x3f123980866092fedd6bc75e9b273087



This new variant will be detected in the 4522 DAT files."



Ya totalmente controlado en tiempo record, como siempre :D :D :D , estamos mas tranquilos...



saludos



ms, 28-06-2005