Veszélyesen terjed a Bagle.b e-mail féreg

Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.b@MM e-mail férget. A közlemény szerint a Bagle.b variáns "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. A Bagle.b variáns szintén rendelkezik időkorláttal, "szavatossági" ideje 2004. február 25-e.

A W32/Bagle.b@MM e-mail vírus is tartalmaz saját SMTP levelező motort, amellyel -- hamis feladót feltüntetve -- továbbküldi magát a .WAB, TXT, .HTM és .HTML fájlokból összegyűjtött címekre, de ezúttal kihagyja a hotmail.com, az msn.com, a Microsoft és az avp tartományok alá tartozó címeket. A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 8866-os TCP port-ot figyeli.

A vírus az alábbi néven másolja be magát a Windows rendszerkönyvtárba:

• C:WINNTSYSTEM32AU.EXE

Az indításkor az alábbi kulcsok segítségével tölti be magát:

• HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun "au.exe" = C:WINNTSYSTEM32AU.EXE

A további két kulcs:

• HKEY_CURRENT_USERSoftwareWindows2000 "frn"
• HKEY_CURRENT_USERSoftwareWindows2000 "gid"

A fertőzött email további ismertetőjegyei:

• Feladó: (Hamis cím)
• Tárgy: ID (karaktersorozat)... thanks
• Szöveg: Yours ID (másik karaktersorozat)
• Csatolt állomány: véletlenszerűen elnevezett (11,264 bájtos) bináris EXE állomány

A W32/Bagle.b@MM vírust február 17-én fedezték fel és az aznap kiadott vírusfrissítések már tartalmazzák a vírus felismeréséhez szükséges információt.