Další vir hrozí

  • 1
Společnosti, které se zabývají virovým nebezpečím, varují před novou verzí viru Bagle. Tu jednotlivé firmy identifikují jako Bagle.AE, AG, AH či AI. Také tento vir se pokouší vypnout bezpečnostní programy a šíří se přes e-mail a P2P sítě.
Nový nebezpečný klon viru Bagle se objevil ani ne pět dní po předchozí starší verzi a ve svém chování je velice podobný. Tentokrát se vir začal podle společnosti TrendMicro šířit v oblasti Latinské Ameriky a ve Spojených státech. Antivirové firmy jej označují jako Bagle.AE, AG, AH či AI, případně Beagle AG, AH.

Jak jsme si již u tohoto druhu virovu zvykli, v případě, že Bagle.AE pronikne do systému, pokouší se vypnout běh různých bezpečnostních programů a také se v rámci války virových klanů snaží vypudit z počítače vir NetSky. Vedle toho otevře TCP port 1080 a některé UDP porty a odešle informaci IP adrese napadeného počítače a otevřeném portu na některou z desítek adres, které má k dispozici. U otevřených portů pak čeká na případné instrukce.

Vir má plánovanou životnost do 5. května 2006, kdy přestane fungovat a odstraní zápisy, které mu umožňovaly spuštění při restartu počítače, z registru.

Jak vir poznáte?

Bagle.AE se šíří převážně elektronickou poštou. V úspěšně napadeném počítači vytuneluje přítomné e-mailové adresy, které využívá k vlastnímu rozesílání, ale také k tomu, aby zfalšoval odesílatele. Klidně se tak může stát, že vám na do e-mailové schránky dorazí zpráva, která bude odeslána jakoby z vaší adresy.

První indicie, že se jedná o zprávu zavirovanou tímto virem, tak je subjekt, který obsahuje pouze následující výraz :

Re:

Při otevření této elektronické zprávy můžete narazit na dvě varianty e-mailu, které se liší textem a přílohou. První verze obsahuje jeden z následujících textů:

>Animals
>foto3
>foto3 and MP3
>fotogalary and Music
>fotogalary
>fotoinfo
>Lovely animals
>Predators
>Screen
>Screen and Music
>The snake

Příloha takového e-mailu pak využívá následující názvy souborů:

Cat
Cool_MP3
Dog
Doll
Fish
Garry
MP3
Music_MP3
New_MP3_Player

Ty následně kombinuje s těmito příponami:

.com
.cpl
.exe
.scr
.zip

Druhá verze tohoto zavirovaného e-mailu přináší vir jako zabalenou přílohu, kde je tento archiv navíc chráněn heslem. Proto musí text e-mailu obsahovat správné heslo, kterým lze tento archiv s virem rozbalit. Heslo však není v textové podobě, ale využívá technologii kaptcha, která byla původně vyvinuta jako ochrana proti spamu. Kaptcha totiž ukrývá heslo v v podobě obrázku. V těle zprávy takového e-mailu pak lze najít některý z těchto textů:

Password: heslo Kaptcha
Pass: heslo Kaptcha
Key: heslo Kaptcha


Šíření přes P2P

P2P sítě pro sdílení souborů typu Kazaa, se již staly vděčnou cestou i pro šíření virové nákazy. Nový Bagle.AE se je snaží také využít, když vyhledává adresáře, jenž mají ve svém názvu řetězec slov „shar“ (od anglického share, sdílení). Do takových adresářů se pak uložím kopie viru s některým z těchto názvů:


ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
 

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.