Szerző: Ady Krisztián

2004. február 18. 13:07

Veszélyesen terjed a Bagle.b e-mail féreg

Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.b@MM e-mail férget. A közlemény szerint a Bagle.b variáns közepes veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. A Bagle.b variáns szintén rendelkezik időkorláttal, szavatossági ideje 2004. február 25-e.

Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.b@MM e-mail férget. A közlemény szerint a Bagle.b variáns "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. A Bagle.b variáns szintén rendelkezik időkorláttal, "szavatossági" ideje 2004. február 25-e.

A W32/Bagle.b@MM e-mail vírus is tartalmaz saját SMTP levelező motort, amellyel -- hamis feladót feltüntetve -- továbbküldi magát a .WAB, TXT, .HTM és .HTML fájlokból összegyűjtött címekre, de ezúttal kihagyja a hotmail.com, az msn.com, a Microsoft és az avp tartományok alá tartozó címeket. A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 8866-os TCP port-ot figyeli.

A vírus az alábbi néven másolja be magát a Windows rendszerkönyvtárba:

  • C:WINNTSYSTEM32AU.EXE

Az indításkor az alábbi kulcsok segítségével tölti be magát:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun "au.exe" = C:WINNTSYSTEM32AU.EXE

A további két kulcs:

  • HKEY_CURRENT_USERSoftwareWindows2000 "frn"
  • HKEY_CURRENT_USERSoftwareWindows2000 "gid"

A fertőzött email további ismertetőjegyei:

  • Feladó: (Hamis cím)
  • Tárgy: ID (karaktersorozat)... thanks
  • Szöveg: Yours ID (másik karaktersorozat)
  • Csatolt állomány: véletlenszerűen elnevezett (11,264 bájtos) bináris EXE állomány

A W32/Bagle.b@MM vírust február 17-én fedezték fel és az aznap kiadott vírusfrissítések már tartalmazzák a vírus felismeréséhez szükséges információt.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról