Vir Bagle.Z vypíná antiviry a firewally

Jedny z nejostřeji sledovaných virových rodin Bagle a Netsky mají nové přírůstky. Zatímco Bagle se prozatím zastavil u verze Z, nový Netsky již postoupil k označení AA. Rekord v tomto směru však drží jiné viry. Například Gaobot je v nové verzi s koncovkou ADX.

Nejvíce nebezpečný je však podle bezpečnostních společností Bagle.Z (některé antivirové firmy jej označují také jako Bagle.W, Bagle.Y nebo Bagle.X). I když se tento vir automaticky smaže ze systému 25. ledna 2005, může do té doby umožnit páchat různé škody.

Jak vir poznáte?

Nový Bagle.Z podobně jako jeho předchůdci falšuje e-mailovou adresu odesílatele. V některých případech využívá před názvem domény tato jména:

ann@
annie@
christina@
christy@
jessie@
lizie@
secretGurl@

Zavirovanou zprávu lze také poznat podle předmětu, který je vybírán z následujícího seznamu:

%s,
Dear %s,
Dear %s, It's me ;-)
Don't you remember me?
Encrypted document
Fax Message Received
Forum notify
Hello %s,
Hello,
Hey %s,
Hey %s, It's me ->
Hey!
Hey,
Hi %s,
Hi,
Hi, It's me
Hidden message
I just need a friend
I just want to talk with someone...
I like reading the books and socializing, let me talk with you...
I like you
I Like You!
I need a friend...
I'm a sad girl...
I'm bored with this life
Incoming message
It's time to find a friend!
Kewl :-)
Let's socialize, my friend!
Let's talk, my friend!
Like me, odore me! ;-)
Notify from a known person ;-)
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Ready to accept a new friend? :-)
Request response
Site changes
Hello!

Další poznávací znamení se nachází v těle zavirované zprávy. Identifikace však může být poněkud složitější, neboť se samotné tělo skládá z minimálně čtyř částí, které jsou různě kombinovány. Pro oslovení může vir použít deset variant, které v některých případech obsahují jméno příjemce, tak jak bylo získáno z adresy příjemce (pro zjednodušení jsme přímo dosadili jméno TECHNET):

Dear TECHNET,
Dear TECHNET, It's me ;-)
Hello,
Hey TECHNET,
Hey TECHNET, It's me ->
Hey,
Hi TECHNET,
Hi TECHNET, It's me
Hi,
Hello TECHNET,

Hned za oslovením se v některých variantách tohoto viru můžete setkat s obrázkem, který je nazván některým z následujících jmen:

image12
me2
me3
myphoto4
myphoto7
photo

Druhý oddíl může obsahovat některý z následujících úvodů:

Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love!
I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man...
I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats
I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs.
i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny.
I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park
I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure.
I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me
I have recently got demobilize from army and also I am going to act in a higher educational institution
I like an active life... and interesting people..
I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever.
I love productive leisure, to travel, communicate with friends.
I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love.
I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire.
I very much love new acquaintances, I love music, meetings with friends. I go on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue...
I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going.
I'm a young lady of 20 years old i'd like to find my second part!!!
I'm so bored, let me talk with you...
Searching for the right person,for real man, who will really cares and love me.
You are cool :-)
You are my prince :-)

Další část, která nabádá k otevření přílohy, má na výběr z těchto vět:

Attached file tells everything.
Attached file will tell you everything.
For details see the attach.
For more information see the attached file.
Further details are in attach.
Here is the file.
Message is in attach
More info is in attach
Please, have a look at the attached file.
Read the attach.
See attach.
See the attached file for details.
Your file is attached.

Poslední sekce v těle zprávy je vyhrazena rozloučení. Vedle několika variant textu je doplněno i jméno, podle toho, jaké jméno se nachází v adrese odesílatele (pro názornost jsme dosadili jméno ANNIE, které, jak je uvedeno na začátku, vir využívá):

Best wishes, ANNIE
Have a good day, ANNIE
Cheers, ANNIE
Kind regards, ANNIE
Sincerely, ANNIE
Yours, ANNIE

V případě, že je zavirovaná příloha chráněna heslem, je toto heslo uvedeno formou obrázku u některého z těchto textů:

Archive password: (obrázek)
Attached file is protected with the password for security reasons. Password is (obrázek)
For security reasons attached file is password protected. The password is (obrázek)
For security purposes the attached file is password protected. Password -- (obrázek)
In order to read the attach you have to use the following password: (obrázek)
Note: Use password (obrázek) to open archive.
Password - (obrázek)
Password: (obrázek)

Samotný vir se pak skrývá v příloze s některým z těchto názvů:

Details
Details
Document
Info
Information
Message
MoreInfo
Readme

Ten je pak doplněn některou z následujících příloh:

.com
.cpl
.exe
.hta
.scr 
.vbs
.zip

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.

Co vir způsobuje

Vir se samozřejmě pokouší šířit. Využívá k tomu adresy získané na napadeném počítači, také se snaží najít všechny adresáře, které obsahují výraz „shar“. Počítá s tím, že jsou tyto adresáře určeny pro sdílení souborů, například v systémech P2P sítí. V těchto adresářích se pak objevuje jako:

Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Vir se také pokouší kontaktovat několik desítek internetových adres. Mnohem více škody však může způsobit jeho další akce. Tou je pokus o vypnutí běhu bezpečnostních programů jako jsou aniviry, firewally a mnohé další. Dále se pokouší z registrů odstranit odkaz na vir NetSky. Bagle.Z také otevírá port číslo 2535, kudy může případný útočník provést útok.