Az AVERT, a Network Associates vírusszakértői csoportja magasabb
veszélyességi kategóriába sorolta át a W32/Bagle.j@MM email-férget. A
közlemény szerint az új variáns is "közepes" veszélyt jelent az otthoni
és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új
besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A
Bagle.j is időkorlátos, lejárati ideje 2004. április 25-e.
A W32/Bagle.j@MM is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát az ADB, ASP, CFG, CGI,DBX, EML, HTM, MDX, MMF, MSG, NCH, ODS, PHP, PL, SHT, TBB, TXT, UIN, WAB, XML, fájlokból összegyűjtött címekre. Ez a verzió is kihagyja a hotmail.com, az msn.com, a Microsoft és az avp tartományok alá tartozó címek mellett a local, noreply, a postmaster@ és a root@ tartalmúakat is. Ezután a vírus megkísérli leállítani a gépen futó biztonsági szoftvereket.
A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2745-ös port-on keresztül vár utasításokat. A vírus megpróbálja felvenni a kapcsolatot írójával, egy php kód lehívásának segítségével:
http://postertog.de/scr.phphttp://www.gfotxt.net/scr.phphttp://www.maiklibis.de/scr.php A vírus IRUN4.EXE néven, ezúttal egy szöveges fájl ikont használva másolja magát a Windows rendszerkönyvtárba, például:
· C:\WINNT\SYSTEM32\ IRUN4.EXE (21318 bájt)
Az indításkor a vírus az alábbi kulcs segítségével tölti be magát:
· HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "ssate.exe" = C:\WINNT\SYSTEM32\irun4.exe
A fertőzött email további ismertetőjegyei:Feladó: (Hamis cím)
Tárgy: · E-mail account security warning.
· Notify about using the e-mail account.
· Warning about your e-mail account.
· Important notify about your e-mail account.
· Email account utilization warning.
· Notify about your e-mail account utilization.
· E-mail account disabling warning.
Szöveg: A szövegtest ebben a verzióban több összetevőből épül fel, hogy a lehető leghivatalosabbnak tűnjön
Üdvözlés: · Dear user of (a felhasználó tartománya) ,
· Dear user of (a felhasználó tartománya) gateway e-mail server,
· Dear user of e-mail server "(a felhasználó tartománya) ",
· Hello user of (a felhasználó tartománya) e-mail server,
· Dear user of "(a felhasználó tartománya) " mailing system,
· Dear user, the management of (a felhasználó tartománya) mailing system wants to let you know that,
Ahol a felhasználó tartománya a címzett mezőből származik. Például: a felhasználó tartománya a user@mail.com esetben a "mail.com"
Szövegtest:
· Your e-mail account has been temporary disabled because of unauthorized access.
· Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free
auto-forwarding service.
· Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
· We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
· Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
· Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
A csatolt állomány magyarázata: · For more information see the attached file.
· Further details can be obtained from attached file.
· Advanced details can be found in attached file.
· For details see the attach.
· For details see the attached file.
· For further details see the attach.
· Please, read the attach for further details.
· Pay attention on attached file.
Jelszóinformáció - (ha ZIP fájl) · For security reasons attached file is password protected. The password is "(öt véletlenszerű szám) ".
· For security purposes the attached file is password protected. Password is "(öt véletlenszerű szám) ".
· Attached file protected with the password for security reasons. Password is (öt véletlenszerű szám) .
· In order to read the attach you have to use the following password: (öt véletlenszerű szám).
Lezárás:· The Management,
· Sincerely,
· Best wishes,
· Have a good day,
· Cheers,
· Kind regards,
A (a felhasználó tartománya) team. http://www.(a felhasználó tartománya)
Az első, opcionális rész a listából származik, a második állandó.
Csatolt állomány: lehetséges egy jelszóvédelemmel ellátott ZIP fájl, de a kiterjesztés lehet EXE, vagy PIF is.
· Attach
· Information
· Readme
· Document
· Info
· TextDocument
· TextFile
· MoreInfo
· Message
A W32/Bagle.j@MM vírust március 2-án fedezték fel, az aznap kiadott 4332-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információkat. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a
http://www.networkassociates.com/us/downloads/updates/dat.asp címen.
További információ a W32/Bagle.j@MM féregvírusról a http://vil.nai.com/vil/content/v_101071.htm
címen.
Az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp