Blogia
navegaseguro

El gusano Bagle se autoejecuta sin adjuntos

Las nuevas versiones del gusano Bagle (Q,R,S y T, practicamente idénticos entre sí) que empezaron a propagarse el día 18 vienen en un correo electrónico en HTML (es decir, envíado como página web) vienen sin fichero adjunto. Al abrir el mensaje o previsualizarlo en la ventana de Outlook o Outlook Express, el código HTML aprovecha una vulnerabilidad de Internet Explorer (Outlook y Outlook Express utilizan el motor de éste para previsualizar correos) para descargar el virus desde otro equipo ya infectado, autoejecutándose el código malicioso en cuanto termina la descarga.

Además, estas versiones de Bagle son, en cierta manera, virus "a la antigua", quiero decir con ésto que infectan archivos ejecutables y se produce la reinfección cada vez que se ejecuta uno de ellos que ha sido "parasitado" por el virus.

La vulnerabilidad de IE de la que se sirve el gusano para hacer esto debería haber sido resuelta con el parche MS03-040, que salió el 6 de octubre de 2003, pero que, según Enciclopedia Virus, no funciona en este caso.

El fallo ya no se da a través del navegador de Microsoft viendo una página web cualquiera, pero resulta que los sistemas operativos Windows consideran confiable todo lo que trata de ejecutarse desde el disco duro (la famosa "Zona de Confianza") y es justo ahí dónde van a parar los mensajes descargados del servidor de correo y, al parecer, eso no se tuvo en cuenta a la hora de crear el parche.

Hay que recordar asimismo que el parche MS03-040, es un parche para un parche, el MS03-032, que apareció el 20 de agosto de 2003. A ver si no tardan otra vez casi dos meses en sacar el parche para el MS03-040.

Las soluciones pasan por configurar Outlook y Outlook Express para mostrar todos los mensajes cómo texto plano, o bien, desactivar la vista previa y no abrir (basta con abrirlo para infectarse) ningún correo sospechoso. Otra solución es evitar el uso de los clientes de correo Outlook de Microsoft y usar cualquier otro, por ejemplo, Mozilla Thunderbird, que es de código abierto y gratuito o Mozilla Mail, incluido en la suite de internet Mozilla. El uso de un firewall correctamente configurado también debería detener la descarga del virus (el firewall de Windows XP no serviría de nada en este caso).
¿Y esta publicidad? Puedes eliminarla si quieres
¿Y esta publicidad? Puedes eliminarla si quieres

2 comentarios

Gustavo Gil -

Estoy utilizando la versión de Incrediblemail para Microsoft Outlook (IMOL)y cuando envío un mensaje, al receptor del mensaje le aparece un BUG (imstp.gif)en el mensaje recibido. Elimino este archivo del disco duro y vuelve a aparecer cuando envio algun mensaje en formato HTML
¿Como puedo resolver este problema?

Juan -

Lo mejor de todo, es que los "outloques" dejan activado por defecto el html y la vista previa.
XDDDD
Ahora házselo entender al pobre usuario de a pié, ¡que le quitas los emoticones gifeados y su maravilloso incrediblemail de un plumazo! }8-D
¿Y esta publicidad? Puedes eliminarla si quieres