Sophos upozorava na sve veći broj prijava o aktivnosti crva W32/Bagle-A. U Hrvatskoj smo zasad još sigurni, no samo je pitanje vremena kada će se pojaviti u našem adresnom prostoru.

Prepoznavanje Bagle crva bit će ugrađeno u Sophos AntiVirus u ožujku ove godine, verzija 3.79. Datoteka s potpisom, bagle-a.ide, dostupna je za download još od 19.siječnja. Provjerite na svom poslužitelju da li se datoteka nalazi u /var/lib/sav direktoriju.

Ako je nema, pokrenite skriptu /usr/bin/sophos-ide-update i provjerite zašto ne radi automatska dogradnja iz crona.

Crv, naravno, napada Windows računala, korisnici Linuxa mogu mirno i neometano raditi svoj posao.

Evo kako ćete otkriti je Windows računalo zaraženo (preneseno iz poruke koju je sastavila tvrtka Qubis):

Prilikom pokretanja W32/Bagle-A aktivirat ce Windows Calculator kako bi

prikrio svoje djelovanje.

W32/Bagle-A kopira se kao datoteka bbeagle.exe u Windows sistemski

direktorij i podesava slijedeci registry kljuc kako bi osigurao pokretanje

nakon reseta racunala:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe

Inficirano racunalo se moze prepoznati i po aktivnom procesu s imenom

bbeagle.exe.

Uz navedeno, crv kreira i slijedece kljuceve:

HKCU\Software\Windows98\uid

HKCU\Software\Windows98\frun

W32/Bagle-A ukljucuje i backdoor komponentu koja se aktivira na portu 6777,

te koja omogucuje neovlasten upad na racunalo i izvrsavanje programa.

Ovaj crv nece biti aktiviran ukoliko je sistemski datum 28. sijecanj 2004

ili stariji.

Iscrpan opis dostupan je kod Sophosa:

http://www.sophos.com/virusinfo/analyses/w32baglea.html