Az F-Secure az utóbbi 24 óra során megfigyelés alatt
tartott egy új Windows e-mail férget. Ez idő alatt ez az új féreg - mely Bagle
és Beagle neveken ismert - világszerte elterjedt. Jelenleg az otthoni és
vállalati felhasználókat nagyobb eséllyel támadja meg a Bagle, mint bármelyik
másik féreg.
Féregként a Bagle elég egyszerű: e-mail üzeneteken
keresztül terjed, melyek mindig ugyanolyanok. Az e-mailek tárgy mezője
"Hi", és egy csatolt EXE fájlt tartalmaznak, melynek ikonja
megegyezik a számológépével. Ha a felhasználó a csatolt EXE fájlra kattint, a
féreg továbbterjed, majd elindítja a Windows Számológép alkalmazását a
felhasználó megtévesztése érdekében.
A féreg az összes helyi és hálózati meghajtóról
begyűjti az e-mail címeket. Minden szöveg- és HTML fájlt valamint címjegyzéket
végignéz, és egy másolatot küld magáról az összes megtalált e-mail címre -
kivéve a Microsoft, MSN és Hotmail címeket. Az agresszív címgyűjtés lehet a
legfontosabb oka annak, hogy ez a féreg ilyen sikeresen terjed, hiszen az
általa küldött e-mail nem tűnik túl intelligensnek.
A Bagle féreg egy hátsó ajtót is tartalmaz, mely a
6777 számú TCP portot figyeli. Ezen a hátsó ajtón keresztül a féreg írója
kapcsolódhat a fertőzött számítógépekhez, és ott tetszés szerinti programokat
tölthet le és futtathat. A vírus írója úgy találja meg a fertőzött gépeket,
hogy azok egy megadott fájl hackelt webhelyekről történő lekérésével bejelentik
magukat.
A féregben beépített lejárati időt helyeztek el,
2004. január 27-e után a féreg nem terjed tovább. Ez a dátum a fertőzött
számítógép helyi ideje szerint értendő, tehát a rossz dátumbeállításokkal
működő számítógépekről a féreg ez után a dátum után is terjed. Ez a funkció
hasonló, a Sobig víruscsaládban találhatóhoz. A Sobig írói a lejárati dátumot
arra használták, hogy kivonják a régi verziókat a piacról a féreg új és
továbbfejlesztett verzióinak elterjesztéséhez.
A féreg részletes technikai leírása és a rá jellemző
képernyőlekapások az F-Secure Virus Description Database (vírusleírás
adatbázis) adatai között a http://www.f-secure.com/v-descs/bagle.shtml címen
érhetők el.
Az F-Secure Anti-Virus felismeri és leállítja a Bagle
férget. Az F-Secure Anti-Virus a http://www.f-secure.com címről tölthető le
Az F-Secure egy ingyenes eszközt is kiad, mely a
Bagle féreg fertőzött rendszerekről történő eltávolítására használható.
