Közepesen veszélyes a Bagle új variánsa

A McAfee vírusszakértői csoportja már felfedezése napján "közepesen veszélyes" kategóriába sorolta a W32/Bagle.az@MM férget.

A közlemény szerint az új variáns egyaránt veszélyt jelent az otthoni és a vállalati felhasználók számára. A Bagle.az egyik sajátsága, hogy a féregprogramot bemásolja mindazokba a folderekbe, melyek neve tartalmazza a "shar" sztringet (ez általános az olyan peer-to-peer alkalmazásoknál, mint a KaZaa, a Bearshare, vagy a Limewire stb.). A W32/Bagle.az@MM vírus is tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a szöveges és más fájlokból összegyűjtött címekre.

A címek közül azonban néhányat - egyfajta öncenzúra eredményeként kiszűr a féreg, így nem küld fertőzött leveleket olyan email címekre, amelyekben az alábbi szövegrészek egyike szerepel: @hotmail, @msn, @microsoft, rating@, f-secur, news, update, anyone@, bugs@, contract@, feste, gold-certs@, help@, info@, nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix, bsd, linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab, winzip, google, winrar, samples, abuse, panda, cafee, spam, pgp, @avp., noreply, local, root@, vagy postmaster@

A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely megnyitja a 81-es TCP port-ot és egy véletlenszerűen választott UDP portot az áldozatul esett számítógépeken. A vírus BAWINDO.EXE néven másolja magát a Windows rendszerkönyvtárba. A következő indításkor a vírus betölti magát, és megkísérli leállítani a futó biztonsági alkalmazásokat. Annak elkerülésére, hogy ugyanazt a rendszert többször is megfertőzze a féreg, egy mutexet hoz létre. A féregprogram különlegessége, hogy megpróbál kapcsolódni egy sor weboldalhoz, és azokról letölteni egy WS.JPG nevű fájlt. Azonban az elemzők szerint ez a fájl ez idáig egyik megadott weboldalon sem volt megtalálható.