Bagle.c és Bagle.e: közepesen veszélyes a vírusvariánsok

forrás Prim Online, 2004. március 1. 22:54
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.c@MM és a W32/Bagle.e@MM email-férgeket. A közlemény szerint mindkét variáns "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. A Bagle.e variáns szintén rendelkezik időkorláttal, lejárati ideje 2004. március 25-e.
A W32/Bagle.e@MM vírus érdekessége, hogy bár működése gyakorlatilag megegyezik az előző nap felfedezett "c" variánséval, ezúttal a fertőzött gépre másolt fájl (véletlenszerűen generált) nevei és mérete eltérő, kb. 16 kilobájt, ami nehezíti az automatikus eltávolítást.

A vírus csatolt állománya szöveges dokumentumnak álcázva érkezik, kézi lefuttatásakor egy üres szöveges dokumentum ablakot nyit meg.
A W32/Bagle.e@MM verzió is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát az .ADB, .ASP, .CFG, .DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT, .TXT, .WAB fájlokból összegyűjtött címekre. A vírus tartalmaz hátsó-ajtó komponenst is, amely a 2745-ös TCP port-on vár utasításokat, és egy php kódot keres az alábbi címeken:

· http://permail.uni-muenster.de/scr.php,
· http://www.songtext.net/de/scr.php és
· http://www.sportscheck.de/scr.php.

A kód a fenti címek egyikén sem megtalálható. A vírus véletlenszerű néven másolja magát a Windows rendszerkönyvtárba, például:

· C:\WINNT\SYSTEM32\ i1ru74n4.exe
Ugyanebben a könyvtárban létrehoz három további fájlt, amelyek működéséhez szükségesek:

· godo.exe (18,944 bytes) - DLL levelezés
· ii455nj4.exe (1,536 bytes) - DLL töltés
· i1ru74n4.exeopen (~16KB) - ZIP email-en tovább küldendő

Az indításkor a vírus az alábbi kulcsok segítségével tölti be magát:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "rate.exe" = C:\WINNT\SYSTEM32\i1ru74n4.exe

A további három kulcs:
· HKEY_CURRENT_USER\Software\DateTime2 "frun"
· HKEY_CURRENT_USER\Software\DateTime2 "uid"
· HKEY_CURRENT_USER\Software\DateTime2 "port"

A fertőzött email további ismertetőjegyei:

Feladó: (Hamis cím)
Tárgy: (például)
Accounts department, Ahtung!, Camila, Daily activity report, Flayers among us, Freedom for everyone, From Hair-cutter, From me, Greet the day, Hardware devices price-list, Hello my friend, Hi!, , Jenny, Jessica, Looking for the report, Maria, Melissa, Monthly incomings summary, New Price-list, Price, Price list, Pricelist, Price-list, Proclivity to servitude, Registration confirmation, The account, The employee, The summary, USA government abolishes the capital punishment, Weekly activity report, Well..., You are dismissed, You really love me?, he he....

Szöveg: üres levél
Csatolt állomány: véletlenszerűen elnevezett (~16 kilobájtos) bináris ZIP fájl.

Mivel a W32/Bagle.e@MM vírust már február 28-án felfedezték, a másnap kiadott 4330-as DAT fájl már tartalmazta a vírus felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a
http://www.networkassociates.com/us/downloads/updates/default.asp címen.