SG.hu
Közepesen veszélyes a Bagle vírus lepkés variánsa
Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.n@MM email-férget. A közlemény szerint a Bagle.n variáns "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt.
A W32/Bagle.n@MM vírust március 13-án fedezték fel. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. Az AVERT kutatói már több mint száztíz példányról kaptak jelentést, ami meglehetősen sok egy hétvégén. A Bagle.n variánsnak szintén rendelkezik időkorlátja, lejárati ideje 2005. december 31-e, amikor egyszerűen törli a kulcsát a regisztrációs adatbázisból. A vírus érdekessége, hogy írója egy pillangó ábrát helyezett el a kódban, amelynek szövege szerint a "Fehér Nyúl bemutatja az első és egyetlen Netsky elleni vírusirtót":
A vírus True Type fontnak álcázza magát, A W32/Bagle.n@MM verzió is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát az adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, kiterjesztésű fájlokból összegyűjtött címekre. A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2556-os TCP port-ot figyeli.
A vírus az alábbi néven másolja magát a Windows rendszerkönyvtárba: C:\WINNT\SYSTEM32\WINUPD.EXE
A vírus létrehozza még a WINUPD.EXEOPEN és a WINUPD.EXEOPENOPEN fájlokat, amelyek vagy a vírus másolatai, vagy azt a ZIP vagy RAR fájlt tartalmazzák, amit továbbküld e-mailen. Sőt, létrehozhatja a WINUPD.EXEOPENOPENOPEN fájlt is, amely képfájl formában tartalmazza a jelszót. Az indításkor az alábbi kulcsok segítségével tölti be magát:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "winupd.exe" = C:\WINNT\SYSTEM32\winupd.exe
Egy további kulcsot is készít:
HKEY_CURRENT_USER\Software\winupd
A féreg ezután megkísérel leállítani számos futó programot, többek között vírusirtókat és tűzfalakat.
A W32/Bagle.n@MM vírust március 13-án fedezték fel. Az indoklás szerint az új besorolást az előfordulás gyakoriságának növekedése tette szükségessé. Az AVERT kutatói már több mint száztíz példányról kaptak jelentést, ami meglehetősen sok egy hétvégén. A Bagle.n variánsnak szintén rendelkezik időkorlátja, lejárati ideje 2005. december 31-e, amikor egyszerűen törli a kulcsát a regisztrációs adatbázisból. A vírus érdekessége, hogy írója egy pillangó ábrát helyezett el a kódban, amelynek szövege szerint a "Fehér Nyúl bemutatja az első és egyetlen Netsky elleni vírusirtót":
A vírus True Type fontnak álcázza magát, A W32/Bagle.n@MM verzió is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát az adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, kiterjesztésű fájlokból összegyűjtött címekre. A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely a 2556-os TCP port-ot figyeli.
A vírus az alábbi néven másolja magát a Windows rendszerkönyvtárba: C:\WINNT\SYSTEM32\WINUPD.EXE
A vírus létrehozza még a WINUPD.EXEOPEN és a WINUPD.EXEOPENOPEN fájlokat, amelyek vagy a vírus másolatai, vagy azt a ZIP vagy RAR fájlt tartalmazzák, amit továbbküld e-mailen. Sőt, létrehozhatja a WINUPD.EXEOPENOPENOPEN fájlt is, amely képfájl formában tartalmazza a jelszót. Az indításkor az alábbi kulcsok segítségével tölti be magát:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "winupd.exe" = C:\WINNT\SYSTEM32\winupd.exe
Egy további kulcsot is készít:
HKEY_CURRENT_USER\Software\winupd
A féreg ezután megkísérel leállítani számos futó programot, többek között vírusirtókat és tűzfalakat.