...
...

Предупреждение о быстром распространении Bagle.BK и Bagle.BL

PandaLabs докладывает о появлении новых червей Bagle.BK и Bagle.BL. Оба червя спроектированы таким образом, чтобы быстро распространяться по электронной почте в сообщениях, использующих социальную инженерию, а также пиринговые (P2P) приложения наподобие KaZaA. Международная сеть поддержки Panda Software уже начала фиксировать инциденты, вызванные Bagle.BL в таких странах как Голландия и США, и, учитывая характеристики червей, прогнозируется рост количества пораженных компьютеров. Исходя из этого, Panda Software установила оранжевый уровень вирусной тревоги.

Bagle.BK и Bagle.BL попадают на компьютеры в электронных письмах с подмененным адресом отправителя и с заголовком, произвольно выбираемым из списка вариантов. Возможные варианты заголовка включают в себя: "Delivery by mail" или "Delivery service mail". Текст сообщения может содержать фразы: "Before use read the help" или "Thanks for use of our software". Вложенный файл, содержащий червя, обладает изменяющимся названием, хотя его расширение всегда COM, CPL, EXE или SCR.

Для распространения через P2P приложения, такие как KaZaA или Morpheus, оба червя создают свои копии в программных папках общего пользования, присваивая копиям названия, такие как ACDSee 9.exe, Adobe Photoshop 9 full.exe и Ahead Nero 7.exe, среди прочих. Это является приманкой для того, чтобы пользователи скачали и запустили их.

После того как пользователь запускает такой файл, черви используют собственный SMTP механизм и рассылают себя по электронным адресам, которые находят на компьютере в файлах с определенными расширениями. Однако они избегают отсылать свои копии на определенные адреса, в основном принадлежащие или относящиеся к компаниям IT-безопасности.





Самое опасное действие, выполняемое обеими версиями Bagle - завершение процессов в памяти, относящихся к антивирусным приложениям и прочим системам безопасности, что приводит к беззащитности компьютеров против дальнейших атак.

Черви также создают несколько записей в реестре Windows для того, чтобы обеспечить свой последующий запуск при каждом старте системы, и удаляют другие записи, могущие присутствовать в результате заражения версиями Netsky.



© Компьютерная газета