Szerző: Ady Krisztián

2005. június 1. 14:04

Hazai címekről is megpróbál trójait letölteni az új Bagle féreg

Az F-Secure online blogja szerint már nem kevesebb mint nyolc különböző variánsa van a tegnap felbukkant és igen gyorsan terjedő Bagle.BO avagy Mitglieder névre keresztelt féregnek. A Bagle.BO önálló terjedésre nem képes, a férget e-mailben küldték szét.

Az F-Secure online blogja szerint már nem kevesebb mint nyolc különböző variánsa van a tegnap felbukkant és igen gyorsan terjedő Bagle.BO avagy Mitglieder névre keresztelt féregnek. A Bagle.BO önálló terjedésre nem képes, a férget e-mailben küldték szét.

Csak egy csatolt állomány

A férget tartalmazó e-mail tárgysora és szövegtörzse vagy teljesen üres, vagy véletlenszerű szöveget tartalmaz. Az e-mailhez mellékelt tömörített állományban található a Bagle.BO trójailetöltőt telepítő féreg, melynek mérete pontosan 17 kilobájt. A csatolt állomány indítását követően a Bagle.BO két állományt helyez el a Windows rendszermappájába, a WINSHOST.EXE és WIWSHOST.EXE állományokat, melyek a kártevő részei. A rendszerleíró adatbázis megfelelő kulcsainak módosításával a féreg azt is eléri, hogy a Windows minden egyes indításakor elindulhasson.

A rendszerleíró adatbázis további módosításával megpróbálja leállítani az elterjedtebb antivírus szoftverek futását, átnevezi ezen programok indítóállományait, a hosts fájlt is átírja, azonban a korábbi változatoktól eltérően ez a variáns nem akadályozza meg egyetlen weboldal elérhetőségét sem. A Bagle.BO emellett átnézi a merevlemez tartalmát, és ha mysuperprog.exe nevű fájlt talál, letörli azt.

Magyar címekről is próbálkozik

A kártevő kódjában internetes címek hosszú listáját is elhelyezték, melyekről a féreg egy 'osa.gif' nevű, valójában 'ile.exe' néven a Windows könyvtárba másolandó, valószínűleg kártékony állományt próbál meg letölteni. A listában néhány hazai internet- és tárhelyszolgáltató központi webcíme is megtalálható, gyors tesztünk alapján azonban ezeken a hazai webhelyeken osa.gif nevű állomány nem található.

Szappanos Gábor, a VírusBuster víruslaborjának vezetője lapunk kérdésére elmondta, hogy a magyar weboldalak címei -- és a féregben található cím 99 százaléka -- csak megtévesztésként kerül a féregbe, a kártékony kódot tartalmazó állomány valójában csupán 2-3 listában szereplő weboldalon válik elérhetővé. Az F-Secure webnaplója szerint a vállalat szakemberei folyamatosan monitorozzák a legújabb Bagle variáns működését, illetve a féregben talált weblinkeket.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról