Vir se podle společnosti TrendMicro začal šířit ve Spojených státech a Kanadě a nyní již postupuje dále do světa. Ke svému šíření používá e-mail, ale také se pokouší pronikat přes výměnné sítě.
Bagle.AB se pokouší zastavit chod různých bezpečnostních programů a v rámci boje virových klanů se snaží ze systému vypudit vir Netsky. Dále otevírá port 1080, kterým může dostávat příkazy od případného útočníka. Vir je aktivní až do 5.května 2006, kdy má nastaveno ukončení šíření a zároveň smaže záznamy v registru, které mu umožňují spouštět se zároveň se startem systému.
Jak vir poznáte? Vir má dvě varianty, které se odlišují podle toho, zda má zabalenou zakódovanou přílohu nebo ne.
První verze Adresa odesílatele je tradičně podvržená a pochází z e-mailových adres, které vir získal na napadeném počítači, z něhož k vám zpráva dorazila. Orientovat se tak budete muset podle předmětu poštovní zprávy. Ten může využívat jeden z následujících textů:
| Changes.. Encrypted document Fax Message Forum notify Incoming message Notification Protected message Re: Document Re: Hello Re: Hi Re: Incoming Message RE: Incoming Msg RE: Message Notify Re: Msg reply RE: Protected message RE: Text message Re: Thank you! Re: Thanks :) Re: Yahoo! Site changes Update |
Zpráva zavirovaná tímto virem pak obsahuje text, který je vybírán z těchto vět:
| Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Here is the file. Message is in attach More info is in attach Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Your document is attached. Your file is attached. |
Samotný vir se pak skrývá v příloze, která nese jeden z těchto názvů:
| Details Document Info Information Message Readme text_document Updates |
Tyto názvy jsou pak kombinovány s následujícími přílohami:
| BAT CMD COM COMO CPL EXE JS JSE PIF SCR VBE VBS WSF WSH WSWH ZIP |
Druhá verze
Vir ze zabalenou zakódovanou přílohou ve formátu ZIP, pak může mít v předmětu zprávy některou z těchto hlášek:
| Password: heslo Pass – heslo Password – heslo |
Heslo, které je v tomto předmětu, pak slouží k rozbalení samotného zabaleného viru v příloze této elektronické zprávy.
Předmět zprávy obsahuje jeden z následujících jednoduchých textů:
| Archive password: obrázek s heslem (kaptcha) Attached file is protected with the password for security reasons. Password is obrázek s heslem (kaptcha) For security purposes the attached file is password protected. Password -- obrázek s heslem (kaptcha) For security reasons attached file is password protected. The password is obrázek s heslem (kaptcha) In order to read the attach you have to use the following password: obrázek s heslem (kaptcha) Note: Use password obrázek s heslem (kaptcha) to open archive. Password - obrázek s heslem (kaptcha) Password: obrázek s heslem (kaptcha) |
Obrázkové heslo (kaptcha) slouží k oklamání antivirových programů. Ty v případě, že se heslo nachází v textu, dokáží toto heslo získat a použít jej k rozbalení zakódovaného zipu, aby jej mohly zkontrolovat na přítomnost viru.
Další akce Jak již bylo zmíněno, vir se pokouší šířit i prostřednictvím P2P sítí. Provádí to tak, že se snaží do všech adresářů, které obsahují název „shar“ vložit svou kopii s následujícími názvy:
| ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe |
Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.
Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.
