27 stycznia 2005

Kolejny Bagle, kolejna epidemia

Firma Kaspersky Lab informuje o pojawieniu się nowego robaka z rodziny Bagle - Bagle.ay. Szkodnik rozprzestrzenia się bardzo szybko i zdążył już wywołać epidemię.

Bagle.ay rozprzestrzenia się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać wykonywalnego pliku systemu Windows o rozmiarze około 19 KB. Szkodnik dociera do komputera jako załącznik wiadomości zatytułowanej "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail" lub "You are made active". Treść wiadomości to "Thanks for use of our software" lub "Before use read the help". Sam załącznik posiada jedną z następujących nazw: wsd01, viupd02, siupd02, guupd02, zupd02, upd02 lub Jol03.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik. Gdy to nastąpi szkodnik kopiuje się do foldera systemowego i tworzy w rejestrze klucz auto-run, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego. Bagle.ay zamyka procesy aplikacji, których zadaniem ochrona komputera oraz sieci lokalnej. Powoduje to znaczne zwiększenie ryzyka infekcji innym wirusem lub wystąpienia ataku sieciowego.

Bagle.ay wykorzystuje standardowy mechanizm rozprzestrzeniania. Skanuje zainfekowany komputer w poszukiwaniu adresów e-mail i wysyła pod nie własne kopie.

W celu zwiększenia swojego zasięgu szkodnik wykorzystuje do rozprzestrzeniania się także sieci P2P. Umieszcza on własne kopie w folderach, których nazwy zawierają słowo 'shar'. Kopie robaka podszywają się pod popularne aplikacje.

Szczegółowy opis robaka Bagle.ay można znaleźć Encyklopedii Wirusów.