Další vir hrozí

Nový nebezpečný klon viru Bagle se objevil ani ne pět dní po předchozí starší verzi a ve svém chování je velice podobný. Tentokrát se vir začal podle společnosti TrendMicro šířit v oblasti Latinské Ameriky a ve Spojených státech. Antivirové firmy jej označují jako Bagle.AE, AG, AH či AI, případně Beagle AG, AH.

Jak jsme si již u tohoto druhu virovu zvykli, v případě, že Bagle.AE pronikne do systému, pokouší se vypnout běh různých bezpečnostních programů a také se v rámci války virových klanů snaží vypudit z počítače vir NetSky. Vedle toho otevře TCP port 1080 a některé UDP porty a odešle informaci IP adrese napadeného počítače a otevřeném portu na některou z desítek adres, které má k dispozici. U otevřených portů pak čeká na případné instrukce.

Vir má plánovanou životnost do 5. května 2006, kdy přestane fungovat a odstraní zápisy, které mu umožňovaly spuštění při restartu počítače, z registru.

Jak vir poznáte?

Bagle.AE se šíří převážně elektronickou poštou. V úspěšně napadeném počítači vytuneluje přítomné e-mailové adresy, které využívá k vlastnímu rozesílání, ale také k tomu, aby zfalšoval odesílatele. Klidně se tak může stát, že vám na do e-mailové schránky dorazí zpráva, která bude odeslána jakoby z vaší adresy.

První indicie, že se jedná o zprávu zavirovanou tímto virem, tak je subjekt, který obsahuje pouze následující výraz :

Re:

Při otevření této elektronické zprávy můžete narazit na dvě varianty e-mailu, které se liší textem a přílohou. První verze obsahuje jeden z následujících textů:

>Animals >foto3 >foto3 and MP3 >fotogalary and Music >fotogalary >fotoinfo >Lovely animals >Predators >Screen >Screen and Music >The snake

Příloha takového e-mailu pak využívá následující názvy souborů:

Cat Cool_MP3 Dog Doll Fish Garry MP3 Music_MP3 New_MP3_Player

Ty následně kombinuje s těmito příponami:

.com .cpl .exe .scr .zip

Druhá verze tohoto zavirovaného e-mailu přináší vir jako zabalenou přílohu, kde je tento archiv navíc chráněn heslem. Proto musí text e-mailu obsahovat správné heslo, kterým lze tento archiv s virem rozbalit. Heslo však není v textové podobě, ale využívá technologii kaptcha, která byla původně vyvinuta jako ochrana proti spamu. Kaptcha totiž ukrývá heslo v v podobě obrázku. V těle zprávy takového e-mailu pak lze najít některý z těchto textů:

Password: heslo Kaptcha Pass: heslo Kaptcha Key: heslo Kaptcha

Šíření přes P2P

P2P sítě pro sdílení souborů typu Kazaa, se již staly vděčnou cestou i pro šíření virové nákazy. Nový Bagle.AE se je snaží také využít, když vyhledává adresáře, jenž mají ve svém názvu řetězec slov „shar“ (od anglického share, sdílení). Do takových adresářů se pak uložím kopie viru s některým z těchto názvů:

ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe

 

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.