Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

3-11-04 11:02
Nove inačice Bagle crva.

piše IVOR MILOŠEVIĆ

Crv Bagle.bb ili W32/Bagle.bb  (McAfee) odnosno Bagle.au (Sophos) je inicijalno uočen u četvrtak od strane McAfee AVERT (Antivirus Emergency Response) tima te je od tada zaprimljeno tisuće prijava.

Crv na već 'klasičan' način preko otvorenog e-mail privitka ili datoteke skinute peer-to-peer servisima inficira windows strojeve, prikuplja e-mail adrese sa zaraženog računala te se svojim SMTP mehanizmom šalje na prikupljene adrese.

Zaprima se na e-mail sa prikrivenom "spoofed" adresom pošiljatelja te neodređenim i nejasnim subject linijama, kao npr: "Re: Hello," "Re: Thank you!" ili "Re: Hi".

Virus identity file za Sophos antivirus može se nabaviti sa

http://www.sophos.com/downloads/ide/bagle-au.ide

Iako postoji veliki broja prijava, broj infekcija je relativno mali.

Već se pojavila i novija inačica ovog crva I-Worm.Bagle.av ili W32/Bagle.bc, za sada slabo proširena, koja radi na sličan način te je dostupna IDE datoteka za detekciju i odstranjivanje i ove inačice:

http://www.sophos.com/downloads/ide/bagle-av.ide

Oba crva postave datoteku CJECTOR.EXE u Windows direktorij te kopiraju 'dropped' komponentu WINGO.EXE odnosno BAWINDO.EXE BAWINDO.EXEOPEN ili BAWINDO.EXEOPENOPEN u isti direktorij te unose slijedeću registry stavku:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
bawindo = <Windows system folder>\bawindo.exe

 

W32/Bagle-AU inačica također pokušava obrisati vrijednosti sa nazivima određenog antivirus i sigurnosnog softvera (9XHtProtect, Antivirus, EasyAV i slično), sa svrhom gašenja istog, iz registry stavki:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run


W32/Bagle-AV se još kopira u sve direktorije na inficiranom stroju koje u imenu sarže string "shar" pod imenom nekog učestalog softvera ili datoteka sa ciljem daljnje propagacije preko peer-to-peer mreža, kao npr:

ACDSee 9.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe itd.


Više informacija:

http://www.sophos.com/virusinfo/analyses/w32bagleau.html

http://www.sophos.com/virusinfo/analyses/w32bagleav.html





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr