A W32/Bagle.h@MM az eddigiek közül az "f" verzióhoz hasonlít leginkább. Tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .WAB, TXT, .HTM és .HTML fájlokból összegyűjtött címekre, de ezúttal a hotmail.com, az msn.com, a Microsoft és az avp tartományok alá tartozó címek mellett kihagyja a local, noreply, a postmaster@ és a root@ tartalmúakat is.
A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2745-ös port-on keresztül vár utasításokat. A vírus pontosan 27.8 óránként próbálja meg felvenni a kapcsolatot írójával, egy php kód lehívásának segítségével:
http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php
A vírus véletlenszerű
néven, ezúttal egy mappa ikont használva másolja magát a Windows
rendszerkönyvtárba, például:
Ugyanebben a könyvtárban létrehoz három további fájlt, amelyek működéséhez szükségesek:
Az indításkor a vírus az alábbi kulcs segítségével tölti be magát:
és létre hoz még egy kulcsot:
· HKEY_CURRENT_USER\Software\Winexe "open"
A fertőzött email további ismertetőjegyei:Feladó: (Hamis cím)
Tárgy:
Szöveg:
Csatolt állomány: jelszóvédelemmel ellátott (!) ZIP fájl, amelyhez a jelszó a szövegrészben található.
A W32/Bagle.h@MM vírust március 1-én fedezték fel, az aznap kiadott 4331-es DAT fájl már tartalmazza a vírus, és a Bagle.i variáns felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a
http://www.networkassociates.com/us/downloads/updates/dat.asp címen.
További információ a W32/Bagle.h@MM féregvírusról a http://vil.nai.com/vil/content/v_101068.htm címen.
Az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp