Primijećen je novi crv koji napada Microsoft Windowse. Sophos ga je nazvao W32/Tanx-A, ali je poznat i po imenima Worm.YoursID i Bagle.B.

Virus šalje poruke s varijabilnim sadržajem, ali se može prepoznati po nekoliko karakteristika:

Subject: ID <proizvoljni znakovi>... thanks

Message text: Yours ID <proizvoljni znakovi>

--

Thank

Attached file: <proizvoljni znakovi>.exe

Kada se klikne na prilog, u System mapu snimi se datoteka AU.EXE. U Registry se ubaci slijedeći tekst:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe

= <windows system folder>\au.exe

Nakon toga virus će se pokrenuti pri svakom uključivanju računala. Pretraživati će diskove u potrazi za datotekama s ekstenzijom WAB, TXT, HTM and HTML, tražeći u njima e-mail adrese, kako bi ih iskoristio za popunjavanje polja za pošiljatelja i primatelja u zaglavlju poruke.

Nakon toga virus otvara backdoor na portu 8866 i javlja se na adrese

www.47df.de

www.strato.de

intern.games-ring.de

kako bi se "registrirao" s koristeći jedinstveni ID. U Registry inficiranog računala još dopiše:

HKEY_CURRENT_USER\Software\Windows2000 "frn"

HKEY_CURRENT_USER\Software\Windows2000 "gid"

Virus će se prestati širiti nakon 25. veljače.

Sophosova analiza:

http://www.sophos.com/virusinfo/analyses/w32tanxa.html

Upute za čišćenje:

http://www.sophos.com/support/disinfection/worms.html

McAfee je virus nazvao W32/Bagle.b@MM:

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101030