Vir Bagle znovu přichází na scénu

  • 12
Nové virové nebezpečí hlásí antivirové společnosti. Jedná se další z mutací červa Bagle, který se začíná poměrně rychle šířit internetem. Nezapomeňte si aktualizovat svůj antivirový program.
Nový počítačový vir, který se masově šíří internetem vychází z nechvalně proslulé rodiny Bagle. Novinka je označovaná jako Bagle.AB či Bagle.AF ( a patrně ještě jinými názvy), podle toho, která antivirová společnost o něm informuje.

Vir se podle společnosti TrendMicro začal šířit ve Spojených státech a Kanadě a nyní již postupuje dále do světa. Ke svému šíření používá e-mail, ale také se pokouší pronikat přes výměnné sítě.

Bagle.AB se pokouší zastavit chod různých bezpečnostních programů a v rámci boje virových klanů se snaží ze systému vypudit vir Netsky. Dále otevírá port 1080, kterým může dostávat příkazy od případného útočníka. Vir je aktivní až do 5.května 2006, kdy má nastaveno ukončení šíření a zároveň smaže záznamy v registru, které mu umožňují spouštět se zároveň se startem systému.

Jak vir poznáte?

Vir má dvě varianty, které se odlišují podle toho, zda má zabalenou zakódovanou přílohu nebo ne.

První verze

Adresa odesílatele je tradičně podvržená a pochází z e-mailových adres, které vir získal na napadeném počítači, z něhož k vám zpráva dorazila.

Orientovat se tak budete muset podle předmětu poštovní zprávy. Ten může využívat jeden z následujících textů:

Changes..
Encrypted document
Fax Message
Forum notify
Incoming message
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes
Update

Zpráva zavirovaná tímto virem pak obsahuje text, který je vybírán z těchto vět:

Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Here is the file.
Message is in attach
More info is in attach
Pay attention at the attach.
Please, have a look at the attached file.
Please, read the document.
Read the attach.
See attach.
See the attached file for details.
Your document is attached.
Your file is attached.

Samotný vir se pak skrývá v příloze, která nese jeden z těchto názvů:

Details
Document
Info
Information
Message
Readme
text_document
Updates

Tyto názvy jsou pak kombinovány s následujícími přílohami:

BAT
CMD
COM
COMO
CPL
EXE
JS
JSE
PIF
SCR
VBE
VBS
WSF
WSH
WSWH
ZIP

Druhá verze

Vir ze zabalenou zakódovanou přílohou ve formátu ZIP, pak může mít v předmětu zprávy některou z těchto hlášek:

Password: heslo
Pass –
heslo
Password – heslo

Heslo, které je v tomto předmětu, pak slouží k rozbalení samotného zabaleného viru v příloze této elektronické zprávy.

Předmět zprávy obsahuje jeden z následujících jednoduchých textů:

Archive password: obrázek s heslem (kaptcha)
Attached file is protected with the password for security reasons. Password is obrázek s heslem (kaptcha)
For security purposes the attached file is password protected. Password -- obrázek s heslem (kaptcha)
For security reasons attached file is password protected. The password is obrázek s heslem (kaptcha)
In order to read the attach you have to use the following password: obrázek s heslem (kaptcha)
Note: Use password obrázek s heslem (kaptcha) to open archive.
Password - obrázek s heslem (kaptcha)
Password: obrázek s heslem (kaptcha)

Obrázkové heslo (kaptcha) slouží k oklamání antivirových programů. Ty v případě, že se heslo nachází v textu, dokáží toto heslo získat a použít jej k rozbalení zakódovaného zipu, aby jej mohly zkontrolovat na přítomnost viru.

Další akce

Jak již bylo zmíněno, vir se pokouší šířit i prostřednictvím P2P sítí. Provádí to tak, že se snaží do všech adresářů, které obsahují název „shar“ vložit svou kopii s následujícími názvy:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

 

 

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.