SG.hu
Közepesen veszélyes a Bagle.U variáns
A MessageLabs jelentése szerint újabb gyorsan terjedő vírusvariáns, a W32/Bagle.U-mm lepi el a postafiókokat. Eddig az első órában a MessageLabs 6000-nél több példányt fogott el az első vírusos e-mail megfogása óta.
A vírust a MessageLabs a közepesen veszélyes kockázati kategóriába sorolta, azonban a hagyományos antivírus motorok még nem minden esetben nyújtanak megfelelő védelmet ellene, így további terjedés várható. A MessageLabs ügyfelei közül a féreggel senki nem fertőződött meg. A W32/Bagle.U egy tömeges e-mail küldő féreg, amely önmagát küldi tovább a megfertőzött számítógépen található e-mail címekre. A vírus további vizsgálata folyamatban van.
A Network Associates vírusszakértői csoportja is magasabb veszélyességi kategóriába sorolta át a W32/Bagle.u@MM férget. A közlemény szerint az új, FSG csomagolású variáns, amely egy kicsit eltér a korábbiaktól, "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A W32/Bagle.u@MM vírusból a mai napon több mint száz példányt regisztráltak, a legtöbbet Franciaországban.
Jellemzők:
Vírus neve: W32/Bagle.U-mm
Eddig elfogott példány: 6000 +
Első példány:: 2004. március 26., 08.45 GMT
Tárgy: üres
Szöveg: üres
Attachment: véletlenszerű, .exe
Méret: 8208 bytes
A Bagle.u is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm és .jsp fájlokból összegyűjtött címekre. Ez a verzió is kihagyja a @microsoft és az @avp tartományok alá tartozó címeket. A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely megnyitja a 4751-es TCP port-ot, és http protokollon küld értesítést a fertőzött gép azonosítási számáról, és a megnyitott port számáról. Így a felhasználók számára a fertőzöttség egyik tünete a www.verde.de oldalra irányuló http forgalom.
A vírus véletlenszerű néven másolja magát a Windows rendszerkönyvtárba, például: C:\WINNT\SYSTEM32\ GIGABIT.EXE
A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run"gigabit.exe" = %SysDir%\gigabit.exe,
és létrehozza az alábbi kulcsot is:
HKEY_CURRENT_USER\Software\Windows2004,
amely két értéket tartalmaz, ezek az "fr1n" és a "gsed". A fertőzött email tárgysora és szövegmezeje üres, csatolt állománya egy véletlenszerűen elnevezett EXE fájl.
Az antivírus cégek helyzete mindig nehéz a férgek veszélyességének megállapításakor, hiszen az első egy-két óra adatai alapján kell a terjedés sebességét megállapítaniuk. A Bagle.U-ból az első órában elfogott hatezer példány elmarad a B verzió tízezres adatától, de nincs kizárva, hogy végül terjedésben megelőzi azt.
A vírust a MessageLabs a közepesen veszélyes kockázati kategóriába sorolta, azonban a hagyományos antivírus motorok még nem minden esetben nyújtanak megfelelő védelmet ellene, így további terjedés várható. A MessageLabs ügyfelei közül a féreggel senki nem fertőződött meg. A W32/Bagle.U egy tömeges e-mail küldő féreg, amely önmagát küldi tovább a megfertőzött számítógépen található e-mail címekre. A vírus további vizsgálata folyamatban van.
A Network Associates vírusszakértői csoportja is magasabb veszélyességi kategóriába sorolta át a W32/Bagle.u@MM férget. A közlemény szerint az új, FSG csomagolású variáns, amely egy kicsit eltér a korábbiaktól, "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A W32/Bagle.u@MM vírusból a mai napon több mint száz példányt regisztráltak, a legtöbbet Franciaországban.
Jellemzők:
A Bagle.u is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm és .jsp fájlokból összegyűjtött címekre. Ez a verzió is kihagyja a @microsoft és az @avp tartományok alá tartozó címeket. A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely megnyitja a 4751-es TCP port-ot, és http protokollon küld értesítést a fertőzött gép azonosítási számáról, és a megnyitott port számáról. Így a felhasználók számára a fertőzöttség egyik tünete a www.verde.de oldalra irányuló http forgalom.
A vírus véletlenszerű néven másolja magát a Windows rendszerkönyvtárba, például:
A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
és létrehozza az alábbi kulcsot is:
amely két értéket tartalmaz, ezek az "fr1n" és a "gsed". A fertőzött email tárgysora és szövegmezeje üres, csatolt állománya egy véletlenszerűen elnevezett EXE fájl.
Az antivírus cégek helyzete mindig nehéz a férgek veszélyességének megállapításakor, hiszen az első egy-két óra adatai alapján kell a terjedés sebességét megállapítaniuk. A Bagle.U-ból az első órában elfogott hatezer példány elmarad a B verzió tízezres adatától, de nincs kizárva, hogy végül terjedésben megelőzi azt.