NoDoom je hrozba, která se teprve postupně rozvíjí, ale nové a naprosto reálné nebezpečí již je na světě. Červ Bagle či chcete-li Beagle, který letošní pozdvižení kolem počítačových virů rozpoutal, dostal bratříčka.
Raketový start
Bagle.B přišel patrně z Polska, kde byl poprvé zaznamenán v úterý odpoledne. Červ, šířící se elektronickou poštou, zasáhl zejména evropské uživatele, jeho aktivity za oceánem čítají zatím necelých 20 % z jeho celkového rozšíření. Za půl dne již MessageLabs hlásí přes 80 tisíc výskytů a bude mnohem hůř: Bagle.B je obsažen v každé šestnácté e-mailové zprávě a tento podíl se má ještě zvyšovat. Momentálně je po dožívajícím NoDoomu druhým nejaktivnějším virem.
Antivirové společnosti zareagovaly velmi rychle a samostatné utility pro odstranění nákazy nabízejí například Symantec, McAfee či F-Secure nebo Avast!. K dispozici jsou samozřejmě aktualizované antivirové definice. Právě od finské F-Secure si Bagle.B vysloužil Alert Level 1, tedy nejvyšší stupeň nebezpečí. To by mělo pominout 25. února, červ oslaví vítězství pracujícího lidu deaktivací sebe sama.
Jak ho poznáte?
Struktura Bagle.B je tak nápadná a do očí bijící, že je opravdu s podivem, kolik naivních uživatelů je stále schopno takový mail nejen okamžitě nesmazat, ale ještě spustit jeho přílohu.
Předmět zprávy zní:
ID (náhodné znaky) ...thanks.
V těle je uvedeno:
Yours ID (změť znaků)
- -
Thank
Název přílohy opět tvoří náhodný řetězec a přípona EXE.
Bagle.B se po otevření přílohy nakopíruje do systémového adresáře jako au.exe a do registrů přidá klíč, který zajistí jeho spuštění při každém restartu Windows. Do registru HKEY_CURRENT_USER\SOFTWARE\Windows2000 přidává ještě další dvě hodnoty: "frn" = "0x00000001" nebo "frn" = "0x00000000" a "gid" = "
Bagle otevírá na portu 8866 zadní vrátka, jimiž mohou být do počítače nahrány a spuštěny třetí programy. Dále posílá každých 10 000 sekund žádost HTTP GET přes TCP na tyto webové adresy:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
Příkaz GET obsahuje číslo portu, na němž infikovaný počítač "naslouchá", jeho IP adresu a identifikační číslo s klíče "gid".
Červ se šíří pomocí vlastní SMTP rutiny pro odchozí poštu. Adresy odesílatelů samozřejmě falšuje, stejně jako adresáty je vykrádá ze souborů .wab, .txt, .htm a .html. Nikdy se však neodesílá na adresy, které obsahují výrazy @hotmail.com, @msn.com, @microsoft, @avp.
