Todas estas variantes (identificadas como Bagle Q, R, S y T por la mayoría de los fabricantes de antivirus), utilizan métodos diferentes de infección, en un intento de eludir la protección antivirus y los filtros de correo.

El gusano se propaga a través de un mensaje que no contiene adjunto ni virus alguno, por lo que no suele ser identificado como malicioso. Solo contiene una corta instrucción en código HTML.

Cuando el usuario abre este mensaje, el mismo intenta aprovecharse de una vulnerabilidad en el Internet Explorer (al abrir una ventana pop-up), que permite la descarga automática y posterior ejecución, de un código Visual Basic Script, desde una de más de 600 máquinas infectadas previamente (seguramente conectadas a Internet las 24 horas por medio de ADSL, cable módem, etc.).

Este script descarga también vía HTTP (un acceso web común), utilizando el puerto TCP/81 (el estándar es el 80), el código del gusano propiamente dicho, desde otra computadora infectada.

El mensaje del gusano, puede aparecer en la bandeja de entrada, y no es peligroso hasta que es abierto. Pero sí puede serlo si se tiene la ventana del panel de vista previa activada (se recomienda desactivarla desde Ver, Diseño, Panel de vista previa).

La dirección del remitente es falsa, de modo que podría parecer que lo envía un conocido.

El mensaje, en inglés, simula alguna clase de notificación. Estos son algunos de los asuntos conocidos:

  Account notify
  Attachment: None
  E-mail account disabling warning.
  E-mail account security warning.
  Email account utilization warning.
  Email report
  E-mail technical support message.
  E-mail technical support warning.
  E-mail warning
  Encrypted document
  Fax Message Received
  Forum notify
  Hidden message
  Important notify
  Important notify about your e-mail account.
  Incoming message
  Notify about using the e-mail account.
  Notify about your e-mail account utilization.
  Notify from e-mail technical support.
  Pass - [dominio del usuario]
  Password - [dominio del usuario]
  Password: [dominio del usuario]
  Protected message
  Re: Document
  Re: Hello
  Re: Hi
  Re: Incoming Fax
  Re: Incoming Message
  Re: Msg reply
  RE: Protected message
  RE: Text message
  Re: Thank you!
  Re: Thanks :)
  Re: Yahoo!
  Request response
  Site changes
  Warning about your e-mail account.

Algunos asuntos y el propio cuerpo del mensaje, mencionan el dominio del usuario. Dicho de otra forma, si usted tiene una dirección tipo "nombre@midominio.com", el mensaje hará referencias a "midominio.com", con la intención de hacerlo más creíble.

Es muy importante que si sospechamos de un mensaje de este tipo, intentemos borrarlo, PERO SIN ABRIRLO EN NINGUN MOMENTO. De hacerlo, se produce la descarga del resto del código del gusano. Ello también ocurre si lo vemos en el panel de vista previa, y aún con el parche que supuestamente corrige esta vulnerabilidad (MS03-040, http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx)

Se recomienda utilizar cortafuegos para no permitir la conexión desde el puerto usado por el gusano para la descarga (TCP/81).

También se pueden desactivar los ActiveX. Una configuración recomendada, es la que sugiere el sitio uruguayo VSAntivirus en el siguiente enlace:

  Configuración personalizada para hacer más seguro el IE
  http://www.vsantivirus.com/faq-sitios-confianza.htm

Sin embargo, tenga en cuenta que estos gusanos, también finalizan la ejecución de una gran cantidad de procesos activos, entre los que se encuentran antivirus, cortafuegos y otras utilidades del propio Windows, dejando al usuario desprotegido ante otras amenazas, además de dificultar la eliminación del propio gusano.

Cómo versiones anteriores, Bagle también infecta archivos .EXE, provocando que cada vez que se ejecute un archivo infectado, se vuelva a infectar nuestro equipo.

Pero lo más peligroso es que el parche que supuestamente corrige esta vulnerabilidad, no funciona correctamente, y el gusano puede funcionar a pesar de tener el Internet Explorer al día. Ello ocurre aún cuando usemos otro navegador por defecto. Las recomendaciones anteriores (desactivar ActiveX, etc.), ayudan a minimizar el riesgo, sin embargo, se sugiere tener actualizado su antivirus, si es posible con una actualización automática cada 60 minutos como promedio, ya que seguramente surgirán nuevas variantes en las próximas horas.

Más información sobre las diferentes versiones del Bagle, pueden ser encontradas en nuestra Enciclopedia.