21 kwietnia 2005

Nowa wersja robaka Bagle została rozesłana przy użyciu technik spamowych

Analitycy z laboratorium antywirusowego firmy Kaspersky Lab wykryli kolejną wersję robaka Bagle - Email-Worm.Win32.Bagle.bn. Autor tych szkodników jest wyjątkowo aktywny od początku 2005 roku - nowe wersje pojawiają się co kilka dni. Ostatnia modyfikacja została dwukrotnie masowo rozesłana. Ostatnie "spamowanie" miało prawdopodobnie na celu podtrzymanie funkcjonowania botnetów składających się z zainfekowanych komputerów.

Bagle.bn dociera do komputerów jako załącznik zainfekowanych wiadomości e-mail, która nie posiada ani tematu, ani treści. Załącznik ma postać pliku ZIP o rozmiarze około 19 KB. Archiwum zawiera plik EXE o nazwie 19_04_2005.exe.

Gdy użytkownik uruchomi plik wykonywalny robak tworzy w tymczasowym folderze systemu Windows dokument tekstowy. Jego nazwa rozpoczyna się od symbolu tyldy (~) i posiada rozszerzenie txt. Pozostała część nazwy składa się z losowych znaków. Do otwarcia tego pliku Bagle.bn wykorzystuje domyślny edytor tekstu (najczęściej jest to Notatnik - notepad.exe) - na ekranie zainfekowanego komputera pojawia się słowo "Sorry".

Bagle rozpakowuje ze swojego kodu plik winshost.exe, zapisuje go w folderze \Windows\System i tworzy własne wpisy w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego.

Bagle.bn usuwa z rejestru systemowego szereg wpisów, co może utrudniać uruchamianie pewnych aplikacji antywirusowych. Ponadto robak zamyka aktywne procesy związane z programami antywirusowymi i zaporami ogniowymi, a także nadpisuje plik hosts, co uniemożliwia użytkownikowi zainfekowanego komputera odwiedzanie stron WWW producentów oprogramowania antywirusowego.

Na szczęście Bagle.bn nie został wyposażony w procedurę samodzielnego rozprzestrzeniania. Nie oznacza to jednak, że jego autor nie będzie dalej rozsyłał kopii szkodnika przy użyciu technik spamowych.

Szczegółowy opis robaka Bagle.bn można znaleźć w Encyklopedii Wirusów.