Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

30-03-04 13:34
Crvi W32/Bagle-U i W32/Bagle-V

piše IVOR MILOŠEVIĆ

Dvije nove varijante Bagle crva pokazuju pojačanu aktivnost na mreži.

Radi se o W32/Bagle-V (W32.Beagle.U@MM) i W32/Bagle-U (W32.Beagle.gen), najnovijima među više od 20 poznatih crva W32/Bagle porodice.

 

W32/Bagle-U:

 

Širi se putem e-mail poruka sa praznim subject poljem, bez teksta poruke i sa slučajno odabranim imenom privitka koji sadrži crva.

 

Pri pokretanju Bagle-U pokreće igru Microsoft Hearts te se kopira u datoteku gigabit.exe u windows\system direktoriju te unosi nove registry stavke:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gigabit.exe

HKCU\Software\Windows2004\gsed

HKCU\Software\Windows2004\fr1n

 

Crv zatim pretražuje diskove za datoteke sa ekstenzijama WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM i JSP te izvlači i šalje se na pronađene e-mail adrese.

 

Crv otvara port 4751.

 

 

W32/Bagle-V:

 

Djeluje na sličan način sa time da su registry stavke u ovom slučaju:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\sysinfo.exe

HKCU\Software\Windows2005\gsed

HKCU\Software\Windows2005\fr1n

 

I umjesto hearts.exe virus pokreće aplikaciju dreder.exe.

Također se šalje na e-mail adrese u poruci bez subject linije i bez teksta, samo u ovom slučaju ime privitka je isključivo "game.exe".

Adresa pošiljaoca je krivotvorena odabirom neke od postojećih adresa na sistemu.

 

Oba crva se automatski brišu sa sistema po isteku 2004 godine i podržani su u individualnim virus identities (IDE) datotekama dostupnim sa Sophosovog web-a i koje će biti uključene u svibanjskoj 3.81 distribuciji Sophos anti-virusa.

 

Sa inficiranih Windows sistema ovi crvi se mogu obrisati pomoću sophosovih aplikacija BAGLEGUI i BAGLECLI:

 

dostupnih sa:

 

http://www.sophos.com/support/disinfection/baglea.html

 

Za ostale platforme i detaljnija uputstva i informacije:

 

http://www.sophos.com/support/disinfection/worms.html

http://www.theregister.co.uk/content/56/36565.html

http://www.sophos.com/virusinfo/analyses/w32baglev.html

http://www.sophos.com/virusinfo/analyses/w32bagleu.html

 





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr