1 czerwca 2005

UWAGA! Email-Worm.Win32.Bagle.bo

Analitycy z laboratorium antywirusowego firmy Kaspersky Lab informują o szybkim rozprzestrzenianiu się nowej wersji robaka Bagle - Bagle.bo. Jest on niemal identyczny jak Bagle.bj oraz kilka wersji wykrywanych przez wspólną sygnaturę Bagle.pac. Bagle.bo nie może się samodzielnie rozprzestrzeniać - został rozesłany przy użyciu technik spamowych. Ma postać załącznika zainfekowanych wiadomości e-mail o pustym temacie i treści (lub z losowymi tekstami). Załącznik ma postać archiwum ZIP (z losową nazwą) o rozmiarze około 17 KB. Kod robaka składa się z kilku komponentów, z których wszystkie wykrywane są jako Email-Worm.Win32.Bagle.bo.

W kodzie robaka zapisana jest długa lista adresów URL, na których szkodnik poszukuje plików. Pliki takie są pobierane i uruchamiane na zainfekowanym komputerze. Oznacza to, że robak może się uaktualniać lub instalować inne szkodliwe programy.

Bagle.bo zmienia zawartość pliku %System%\drivers\etc\hosts, w wyniku czego użytkownik zainfekowanego komputera nie może otwierać wielu stron WWW związanych z bezpieczeństwem.

Ponadto szkodnik uniemożliwia uruchamianie wielu programów antywirusowych poprzez modyfikację kluczy rejestru systemowego zamyka procesy związane z programami antywirusowymi oraz z zaporami ogniowymi.

Szczegółowy opis robaka Bagle.bo dostępny jest w Encyklopedii Wirusów firmy Kaspersky Lab.