Bagle.AB Pro uživatele se nebezpečněji jeví Bagle.AB, který se podle bezpečnostní společnosti TrendMicro šíří především ve Spojených státech a Evropě. Tak jako jeho předchůdce, o kterém jsme psali tento týden, i nový Bagle se pokouší vypnout některé bezpečnostní programy typu antivir či firewall. Vedle toho se také pokouší několika způsoby vypudit ze systému konkurenční viry Netsky. Na odpočinek se tento vir chystá až 25. ledna 2005.
Jak poznáte Bagle.AB? Adresa odesílatele je podvržená, takže první orientačním bodem je až předmět zprávy. Ten je vybírán z následujícího seznamu:
Encrypted document
Fax Message Received
Forum notify
Hidden message
Changes..
Incoming message
New changes
Notification
Protected message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Re: Msg reply
RE: Protected message
RE: Text message
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Site changes Samotné tělo zprávy obsahuje buď text a obrázek hesla (tzv. kaptcha) nebo pouze přílohu s virem. První případ nastává v okamžiku, kdy je samotná příloha zabalena ve formátu .zip a tento soubor je chráněn heslem, které se nachází v uvedeném obrázku. Jak z povahy kaptchy vyplývá, je tam pro to, aby zamezila antivirovému systému otevřít zabalený soubor a zkontrolovat jej. Heslo k zabalenému souboru, které by bylo pouze napsané, totiž antivirové programy dokáží rozpoznat a najít. V případě, že je tedy soubor zaheslován, objevuje se před obrázkovým heslem některý z těchto textů:
Archive password:
Attached file is protected with the password for security reasons. Password is
For security purposes the attached file is password protected. Password --
For security reasons attached file is password protected. The password is
In order to read the attach you have to use the following password:
Note: Use password
Password
Password: Samotný vir se pak ukrývá v příloze s koncovkou .zip, .exe, .com či .scr a některým z těchto názvů:
Alive_condom
Counter_strike
Details
Details
Document
Half_Live
I_search_for_you
Info
Information
Joke
Loves_money
Manufacture
Message
MoreInfo
Nervous_illnesses
Readme
Smoke
text_document
the_message
the_message
Toy
You_are_dismissed
You_will_answer_to_me
Your_complaint
Your_money
Co vir dělá
Vedle e-mailu využívá pro své šíření Bagle.AB také adresáře, jenž obsahují frázi „shar“. To jsou většinou adresáře určené pro sdílení například v rámci jedné sítě, ale i u různých P2P sítí typu KaZaa. Do nich se pak kopíruje pod následujícími názvy:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe Další nebezpečí se skrývá v portu 2535, který vir otevírá a kterým tak může do systému proniknout útočník. V případě, že je vir spuštěn, pokouší se kontaktovat několik desítek různých stránek.
Netsky.AC Vir Netsky.AC se začal šířit na Dálné východu, střední Evropě a Africe. Také tento vir se všemožně snaží dostat z napadeného počítače viry svého rivala Bagle.
Poznejte zprávu zavirovanou Netsky.AB Jméno odesílatele zavirované právy je zfalšováno a je vybíráno z adres, které vir nalezl na počítači z něhož se odeslal. V předmětu zprávy lze narazit na některý z následujících textů:
Correction
Criminal
Found
Funny
Hurts
Illegal
Letter
Money
More samples
Numbers
Only love?
Password
Picture
Pictures
Privacy
Question
Stolen
Text
Wow Text v těle zprávy není dlouhý, ale nabízí dvě desítky variant:
Are your numbers correct?
Do you have asked me?
Do you have more photos about you?
Do you have more samples?
Do you have no money?
Do you have written the letter?
Does it hurt you?
Hey, are you criminal?
How can I help you?
I've found your creditcard. Check the data!
I've your password. Take it easy!
Please do not sent me your illegal stuff again!!!
Please use the font arial!
Still?
The text you sent to me is not so good!
True love letter?
Why do you show your body?
Wow! Why are you so shy?
You have no chance...
Your pictures are good! Samotný vir se pak skrývá v souboru s některým z následujících názvů:
abuses.pif
all_pictures.pif
corrected_doc.pif
document1.pif
hurts.pif
image034.pif
loveletter02.pif
my_stolen_document.pif
myabuselist.pif
passwords02.pif
pin_tel.pif
visa_data.pif
your_bill.pif
your_letter.pif
your_letter_03.pif
your_picture.pif
your_picture01.pif
your_text.pif
your_text01.pif
Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel některý z těchto virů, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší oparnosti však již neobejdete.
Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.
