En la madrugada de hoy se recibieron varios ejemplos de mensajes conteniendo archivos de nombre foto.zip, los cuales contenían dos archivos: uno con formato HTML y otro ejecutable. Este último es el componente troyano del Bagle, mientras que el primero intenta ejecutar al troyano cuando el archivo HTML es visto con el Internet Explorer.
Cuando el troyano es ejecutado, intenta terminar procesos de varios programas antivirus y luego se conecta a diferentes sitios en Internet para descargar un gusano de correo electrónico capaz de enviarse a través de sus propias rutinas SMTP. La mayoría de estos sitios de Internet ya han sido dados de baja por lo que el troyano no siempre podrá descargar el componente gusano.
Además, instala una puerta trasera en los puertos TCP y UDP 80, el cual permite utilizar a los ordenadores infectados como pasarelas de correo electrónico, lo cual demuestra que el principal objetivo del Bagle.AJ es dar más opciones a los spammers para enviar su correo basura a través de ordenadores infectados.
NOD32 comenzó detectando el componente troyano del Bagle como Win32/TrojanDropper.Small.NAQ, pero desde las últimas actualizaciones detecta a las distintas partes del virus como Win32/Bagle.AJ.
Para evitar infectarse con este nuevo virus es importante que los usuarios de antivirus actualicen sus programas a la brevedad posible a fin de que sean capaces de detectar el nuevo Bagle.AJ.
Más información en http://www.enciclopediavirus.com
