2004. január 19. 14:38, Hétfő
Az AVERT, a Network Associates vírusszakértői csoportja közleménye szerint a W32/Bagle@MM email-féreg "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt.
A W32/Bagle@MM féregvírus e-mailen keresztül terjed, tömeges-levélküldő és külső hozzáférést engedő komponensekből áll. A fertőzött e-mail ismertetőjegyei:
Feladó: (általában hamis cím)
Tárgy: Hi
Szöveg: Test =)
(véletlenszerű karakterek)
--
Test, yep.
Csatolt állomány: (véletlenszerű fájlnév) 15872 bájt, számológép ikon
Például: frjujs.exe
A csatolt állomány lefutásakor a vírus ellenőrzi a rendszerdátumot, és 2004. január 28-ai vagy későbbi dátum esetén leáll. Amennyiben a fenti dátum előtt vagyunk, a vírus lefuttatja a standard Windows számológépet (CALC.EXE), mialatt a bemásolja magát a Windows rendszerkönyvtárba bbeagle.exe néven, és létrehozza az alábbi registry kulcsokat, hogy a következő indításkor betöltse magát:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
Két, további kulcs:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
Ezután összegyűjti az e-mailcímeket a .wab, .txt, .htm és .html fájlokból, majd saját SMTP motorjával továbbküldi magát ezekre.
A külső hozzáférést engedő komponens a 6777-es TCP porton figyel, és PHP scriptek lehívásával próbálja értesíteni a szerzőt a rendszer fertőzöttségéről. Jelenleg az egyik oldalon sincs fent a kérdéses PHP script.
Informatika és tudomány