Az F-Secure Anti-Virus felismeri és leállítja a Bagle férget

forrás Prim Online, 2004. január 21. 14:45
Az F-Secure az utóbbi 24 óra során megfigyelés alatt tartott egy új Windows e-mail férget. Ez idő alatt ez az új féreg - mely Bagle és Beagle neveken ismert - világszerte elterjedt. Jelenleg az otthoni és vállalati felhasználókat nagyobb eséllyel támadja meg a Bagle, mint bármelyik másik féreg.

Féregként a Bagle elég egyszerű: e-mail üzeneteken keresztül terjed, melyek mindig ugyanolyanok. Az e-mailek tárgy mezője "Hi", és egy csatolt EXE fájlt tartalmaznak, melynek ikonja megegyezik a számológépével. Ha a felhasználó a csatolt EXE fájlra kattint, a féreg továbbterjed, majd elindítja a Windows Számológép alkalmazását a felhasználó megtévesztése érdekében.

A féreg az összes helyi és hálózati meghajtóról begyűjti az e-mail címeket. Minden szöveg- és HTML fájlt valamint címjegyzéket végignéz, és egy másolatot küld magáról az összes megtalált e-mail címre - kivéve a Microsoft, MSN és Hotmail címeket. Az agresszív címgyűjtés lehet a legfontosabb oka annak, hogy ez a féreg ilyen sikeresen terjed, hiszen az általa küldött e-mail nem tűnik túl intelligensnek.

A Bagle féreg egy hátsó ajtót is tartalmaz, mely a 6777 számú TCP portot figyeli. Ezen a hátsó ajtón keresztül a féreg írója kapcsolódhat a fertőzött számítógépekhez, és ott tetszés szerinti programokat tölthet le és futtathat. A vírus írója úgy találja meg a fertőzött gépeket, hogy azok egy megadott fájl hackelt webhelyekről történő lekérésével bejelentik magukat.

A féregben beépített lejárati időt helyeztek el, 2004. január 27-e után a féreg nem terjed tovább. Ez a dátum a fertőzött számítógép helyi ideje szerint értendő, tehát a rossz dátumbeállításokkal működő számítógépekről a féreg ez után a dátum után is terjed. Ez a funkció hasonló, a Sobig víruscsaládban találhatóhoz. A Sobig írói a lejárati dátumot arra használták, hogy kivonják a régi verziókat a piacról a féreg új és továbbfejlesztett verzióinak elterjesztéséhez.

A féreg részletes technikai leírása és a rá jellemző képernyőlekapások az F-Secure Virus Description Database (vírusleírás adatbázis) adatai között a http://www.f-secure.com/v-descs/bagle.shtml címen érhetők el.

Az F-Secure Anti-Virus felismeri és leállítja a Bagle férget. Az F-Secure Anti-Virus a http://www.f-secure.com címről tölthető le

Az F-Secure egy ingyenes eszközt is kiad, mely a Bagle féreg fertőzött rendszerekről történő eltávolítására használható.