Mellékleteink: HUP | Gamekapocs
Keres

Hazai címekről is megpróbál trójait letölteni az új Bagle féreg

Ady Krisztián, 2005. június 01. 14:04
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az F-Secure online blogja szerint már nem kevesebb mint nyolc különböző variánsa van a tegnap felbukkant és igen gyorsan terjedő Bagle.BO avagy Mitglieder névre keresztelt féregnek. A Bagle.BO önálló terjedésre nem képes, a férget e-mailben küldték szét.

Az F-Secure online blogja szerint már nem kevesebb mint nyolc különböző variánsa van a tegnap felbukkant és igen gyorsan terjedő Bagle.BO avagy Mitglieder névre keresztelt féregnek. A Bagle.BO önálló terjedésre nem képes, a férget e-mailben küldték szét.

Csak egy csatolt állomány

A férget tartalmazó e-mail tárgysora és szövegtörzse vagy teljesen üres, vagy véletlenszerű szöveget tartalmaz. Az e-mailhez mellékelt tömörített állományban található a Bagle.BO trójailetöltőt telepítő féreg, melynek mérete pontosan 17 kilobájt. A csatolt állomány indítását követően a Bagle.BO két állományt helyez el a Windows rendszermappájába, a WINSHOST.EXE és WIWSHOST.EXE állományokat, melyek a kártevő részei. A rendszerleíró adatbázis megfelelő kulcsainak módosításával a féreg azt is eléri, hogy a Windows minden egyes indításakor elindulhasson.

A rendszerleíró adatbázis további módosításával megpróbálja leállítani az elterjedtebb antivírus szoftverek futását, átnevezi ezen programok indítóállományait, a hosts fájlt is átírja, azonban a korábbi változatoktól eltérően ez a variáns nem akadályozza meg egyetlen weboldal elérhetőségét sem. A Bagle.BO emellett átnézi a merevlemez tartalmát, és ha mysuperprog.exe nevű fájlt talál, letörli azt.

Magyar címekről is próbálkozik

A kártevő kódjában internetes címek hosszú listáját is elhelyezték, melyekről a féreg egy 'osa.gif' nevű, valójában 'ile.exe' néven a Windows könyvtárba másolandó, valószínűleg kártékony állományt próbál meg letölteni. A listában néhány hazai internet- és tárhelyszolgáltató központi webcíme is megtalálható, gyors tesztünk alapján azonban ezeken a hazai webhelyeken osa.gif nevű állomány nem található.

Szappanos Gábor, a VírusBuster víruslaborjának vezetője lapunk kérdésére elmondta, hogy a magyar weboldalak címei -- és a féregben található cím 99 százaléka -- csak megtévesztésként kerül a féregbe, a kártékony kódot tartalmazó állomány valójában csupán 2-3 listában szereplő weboldalon válik elérhetővé. Az F-Secure webnaplója szerint a vállalat szakemberei folyamatosan monitorozzák a legújabb Bagle variáns működését, illetve a féregben talált weblinkeket.