Trójaival támad a legújabb Bagle féreg

[eWeek/HWSW] Az antivírus-cégek figyelmeztetést tettek közzé a Bagle féreg legújabb mutációjának megjelenése kapcsán, ami nagy sebességgel terjed a levelekben.

Új Bagle variáns: Bagle.BH

A legújabb variáns trójai letöltő-komponenst tartalmaz, valamint tudja mindazt, ami a korábbi Bagle férgeket világszerte ismertté, és elterjedtté tette -- ismertette a Sophos figyelmeztetésében.

Az F-Secure antivírus-gyártó vállalat eddig két különféle Bagle variánst észlelt, amik összesen 4 eltérő letöltőmodult próbálta meg e-mailen keresztül a felhasználók számítógépére juttatni. Myko Hyponnen, a F-Secure kutatási igazgatója észrevette, hogy az új féreg kliens-szerver kommunikációt is igénybe vesz terjedésének gyorsításához.

Általános esetben a Bagle férgek a helyi merevlemezeken kutatnak e-mail címek után, ahova továbbküldhetik magukat, azonban Hyponnen rámutatott, hogy az új változat képes egy háttérben futó webszerverre is rákapcsolódni, ami további e-mail címek forrása lehet.

"Ezt követően a vírus elküldi magát ezen címek valamelyikére, és innen az egész folyamat ismétlődik" -- tette hozzá Hyponnen. Az F-Secure vírusdefiníciója szerint a féreg aktivál egy hátsóajtót is, ami a 80-as porton figyel. Ez amiatt szokatlan, mert a 80-as port hagyományosan a webszerverek HTTP portja, így ha az adott számítógépen fut webszerver, akkor ez a port már eleve használatban van.

Letiporja a számítógép védelmi vonalait

A Sophos jelentése szerint az új Bagle-variáns több biztonsági alkalmazás leállítását is megkísérli, köztük tűzfalakat, és antivírus szoftvereket. "Megpróbálják átnevezni a biztonsági szoftverekhez tartozó fájlokat, (hogy még egyszer ne töltődjenek be), valamint letiltják a hozzáférést a biztonság-orientált weboldalak jelentős részéhez a Windows HOSTS fájl módosításával" -- figyelmeztetett a vállalat.

"Bármely trójai, ami képes kikapcsolni az antivírus- vagy tűzfalszoftvereket, az képes a számítógépet más támadások célpontjává tenni, akár nagyon régi vírusok által is. Azt tanácsolom, hogy minden antivírus szoftver legyen úgy beállítva, hogy automatikusan frissítse magát, és mindig gyanakodjunk az ismeretlen eredetű levelekre" -- javasolta Graham Cluley, a Sophos technológiai konzulense.

A Trend Micro az új Bagle férget "közepesen veszélyes" kategóriába sorolta, és külön felhívta a figyelmet a kártevő féreg-trójai kettősségére, és terjedési módszerére, ami tömeges levélküldésen alapul.

a VirusBuster a Commtouch technológiával azonnal blokkolta a gyorsan terjedő vírust -- melyet Bagle.BH néven azonosít néhány antivírus cég. Tegnap délután kettőkor a vezető vírusvédelmi szoftvergyártók még nem adtak ki adatbázis frissítést. Ezekben az átmeneti időszakokban, amíg még nincs konkrét védekezési minta, vagy ellenszer, különösen hatékonyak a prediktív és heurisztikus felderítési módszerek.