W32/Bagle.h@MM: közepesen veszélyes a vírus újabb variánsa

forrás Prim Online, 2004. március 2. 20:31
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.h@MM email-férget. A közlemény szerint a Bagle.h variáns "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A Bagle.h is időkorlátos, lejárati ideje 2004. március 25-e. A már kiadott 4331-es DAT fájlok használata már a Bagle.h és „i” verzió, valamint az általuk terjesztett fertőzés ellen is védelmet nyújtanak.

A W32/Bagle.h@MM az eddigiek közül az "f" verzióhoz hasonlít leginkább. Tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .WAB, TXT, .HTM és .HTML fájlokból összegyűjtött címekre, de ezúttal a hotmail.com, az msn.com, a Microsoft és az avp tartományok alá tartozó címek mellett kihagyja a local, noreply, a postmaster@ és a root@ tartalmúakat is.

A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2745-ös port-on keresztül vár utasításokat. A vírus pontosan 27.8 óránként próbálja meg felvenni a kapcsolatot írójával, egy php kód lehívásának segítségével:

http://postertog.de/scr.php
http://www.gfotxt.net/scr.php
http://www.maiklibis.de/scr.php

A vírus véletlenszerű néven, ezúttal egy mappa ikont használva másolja magát a Windows rendszerkönyvtárba, például:

Ugyanebben a könyvtárban létrehoz három további fájlt, amelyek működéséhez szükségesek:

Az indításkor a vírus az alábbi kulcs segítségével tölti be magát:

és létre hoz még egy kulcsot:

· HKEY_CURRENT_USER\Software\Winexe "open"

A fertőzött email további ismertetőjegyei:

Feladó: (Hamis cím)

Tárgy:

Szöveg:

Csatolt állomány: jelszóvédelemmel ellátott (!) ZIP fájl, amelyhez a jelszó a szövegrészben található.

A W32/Bagle.h@MM vírust március 1-én fedezték fel, az aznap kiadott 4331-es DAT fájl már tartalmazza a vírus, és a Bagle.i variáns felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a

http://www.networkassociates.com/us/downloads/updates/dat.asp címen.

További információ a W32/Bagle.h@MM féregvírusról a http://vil.nai.com/vil/content/v_101068.htm címen.

Az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp