Szerző: Budai Péter

2004. szeptember 1. 11:11

Átcsúszik a tűzfalakon a Bagle vírus új mutációja, a Bagle.AI

[eWeek.com] A két héttel ezelőtt felbukkanó Bagle.AQ után ismét újabb variánsa született a gyorsan terjedő e-mail féregvírusnak, és kedd óta folyamatosan bombázza a felhasználók postafiókjait. A levelek témájaként foto van megjelölve, és egy foto.zip nevű csatolt fájlt tartalmaznak. A Bagle új mutációja azonban nem jelent nagyobb veszélyt korábban született testvéreinél.

[eWeek.com] A két héttel ezelőtt felbukkanó Bagle.AQ után ismét újabb variánsa született a gyorsan terjedő e-mail féregvírusnak, és kedd óta folyamatosan bombázza a felhasználók postafiókjait. A levelek témájaként "foto" van megjelölve, és egy "foto.zip" nevű csatolt fájlt tartalmaznak. A Bagle új mutációja azonban nem jelent nagyobb veszélyt korábban született testvéreinél.

A tömörített állomány egy HTML fájlt tartalmaz (foto1.html), ami lefuttatáskor megkísérli letölteni azt a komponenst, ami a vírus féreg képességeit aktiválja a "foto1.exe" segítségével. Az új, Worm_Bagle.AI névre hallgató vírust a Trend Micro Inc. észlelte elsőként, ahogy több felhasználóhoz is elpostázódott. Szerencsére a féreg részeit tartalmazó siteok hibájának következtében a vírus nem terjedt tovább.

Megelőzéséhez elegendő egyetlen szabályt betartani: nem szabad ismeretlen eredetű csatolt fájlokat megnyitni, illetve ha erre feltétlenül szükség van, be kell szerezni egy vírusirtó programot a legfrissebb vírusleíró fájlok társaságában.

A Bagle.AI először augusztus 31-én jelentkezett, és a legtöbb vállalati szintű e-mail víruskeresőn simán átjutott. A levél külödőjeként megjelölt személy neve is becsaphatja az óvatlan felhasználókat.

A vírus a DORIOT.EXE és a GDQFW.EXE fájlokat másolja be a Windows rendszerkönyvtárába. Érdekesség, hogy a DORIOT.EXE létrehozási dátuma 2004. szeptember 1., ami későbbi, mint a vírus tényleges megjelenési időpontja.

A rendszerleíró adatbázisban a HKLMSoftwareMicrosoftWindowsCurrentVersionRun és a HKCUSoftwareMicrosoftWindowsCurrentVersionRun kulcs alá írja be a Wersds.exe = "%system%doriot.exe" értéket.

A Symantec közlése szerint a GDQFW.EXE fájlban egy olyan program található, ami az Explorer.exe-t fertőzi meg, és külön szálon futva leállítja a "Shared Access" rendszerszolgáltatást, és átállítja annak automatikus indulási típusát "disabled"-re, vagyis teljesen kikapcsoltra. Ezek után a biztonsági szoftvereket kísérli meg leállítani.

A GDQFW.EXE felelős a féreg terjedését intéző kódrészlet letöltéséért is az azt tartalmazó 130 website egyikéről. A siteok teljes listája megtalálható a Symantec részletes elemzésében.

A letöltött fájlok "_re_file.exe" néven kerülnek be a Windows könyvtárba, és onnan kerülnek lefuttatásra is. Jelenleg úgy tűnik, hogy a vírust kiszolgáló 130 site nem működik; emiatt a vírus féregként még nem képes önálló továbbterjedésre, mindössze pár fájlt és registry bejegyzést hagy hátra. Ugyanakkor későbbi aktiválódásától mindenképpen tartani kell.

A PCMag.com tesztjei alapján kiderül, hogy mivel a vírus az Explorer.exe program részeként próbál meg kapcsolódni az internethez, a tűzfalak többsége nem tekinti veszélyesnek a lekérést, és egyszerűen továbbengedik. A korábbi Bagle.AQ-t a tűzfalak könnyedén kiszűrték.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról