Bagle atakuje!

Po ataku mutacji wirusów MyDoom i NetSky do akcji przystępują kolejne odmiany wirusa Bagle. Robak roznoszony jest poprzez zainfekowaną wiadomość e-mail bądź też poprzez sieci bezpośredniej wymiany plików. Oprócz rozsyłania własnych kopii wirus potrafi również otworzyć aktywny port w lokalnym komputerze, przez który osoba z zewnątrz będzie mogła przejąć kontrolę nad maszyną.

W ostatnich dniach zagrożenie wirusowe znacznie wzrosło, a skrzynki poczty elektronicznej bombardowane są wiadomościami zawierającymi niebezpieczne załączniki. W Sieci rozprzestrzeniają się gwałtownie najnowsze odmiany wirusa MyDoom (wersje E i F) oraz NetSky (również E i F). Z ukrycia wyszedł również robak Bagle (Beagle), którego ostatnie mutacje, oznaczone literką „J” lub „K”, szybko rozprzestrzeniają się na całym Świecie.

Bagle atakuje komputery pracujące w systemie Windows i roznoszony jest poprzez zainfekowaną wiadomość e-mail bądź też poprzez sieci bezpośredniej wymiany plików. Załącznik niebezpiecznej wiadomości zawiera wykonywalne archiwum ZIP (lub archiwum zabezpieczone hasłem podanym w treści wiadomości). Po zainfekowaniu komputera tworzony jest plik „winsys.exe” (w katalogu systemowym), a wirus próbuje zamknąć otwarte procesy programów antywirusowych.

Bagle potrafi również otworzyć w komputerze port o numerze 2745, przez który istnieje możliwość pobrania plików z Internetu, uruchamiania aplikacji i aktualizowania kodu wirusa. Robak rozsyła także własne kopie wykorzystując własny kod SMTP, wyszukując adresy e-mail zapisane w plikach tekstowych, wiadomościach oraz kopiach stron internetowych.

Oprócz destrukcyjnych właściwości wirusa niezwykle interesująca jest szybkość, z jaką powstają kolejne odmiany i mutacje. Zdaniem Jakuba Dębskiego, Specjalisty Antywirusowego z firmy Mks Sp. z o.o., „przyczyn powstawania tak wielu mutacji wirusów można szukać z pewnością w udostępnieniu w Internecie kodu źródłowego pierwszego z nich, robaka MyDoom. Dzięki temu tysiącom średnio zaawansowanych programistów umożliwiono tworzenie jego nowych odmian i klonów. Podobna sytuacja ma miejsce w przypadku wirusów Bagle i Netsky. Wystarczy zmienić 2 bajty kodu, dodać nową „przykrą” funkcjonalność (kasowanie plików, blokowanie dostępu, itp.) i powstaje nowa wersja starego wirusa. Co więcej, twórcy wirusów do ich modyfikacji wykorzystują czasami programy działające automatycznie, bez konieczności interwencji ze strony programisty.”

Narzędzie McAfee AVERT Stinger 2.1.0 usuwające mutacje od F do J wirusa W32.Bagle:

http://www.pcworld.pl/ftp/pc/programy/2722/McAfee.AVERT.Stinger.2.1.0.html

Program CA W32.Bagle.(A-H) Removal Utility 2.0.0 (mutacje od A do H):

http://www.pcworld.pl/ftp/pc/programy/3020/CA.W32.Bagle..A.H..Removal.Utility.2.0.0.html

Program F-Secure Bagle.A-I Removal Tool 1.00.3 (mutacje od A do I):

http://www.pcworld.pl/ftp/pc/programy/3021/F.Secure.Bagle.A.I.Removal.Tool.1.00.3.html

Program BitDefender W32.Bagle.(C-K) Removal Tool (mutacje od C do K):

http://www.pcworld.pl/ftp/pc/programy/3019/BitDefender.W32.Bagle..C.K..Removal.Tool..html


Zobacz również