Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
2004-01-19 07:30:00 - Martin LEPIŠ - Popisy vírusov
Win32/Bagle.A  (alias Win32/Beagle)

Pôvodne sa zdalo, že prvý mesiac v tomto roku prežijeme bez vážnejšieho vírusového incidentu, no žiaľ nie je tomu tak. Včera sa prostredníctvom Internetu, resp. príloh emailových správ začal šíriť počítačový červ nazvaný Win32/Bagle, ktorý vykazuje enormne zvýšenú aktivitu aj u nás na Slovensku. Tento červ sa šíri v relatívne jednoducho vyzerajúcej emailovej správe, ktorej predmet obsahuje textový reťazec "Hi" a prílohu tvorí spustiteľný súbor s variabilným názvom a veľkosťou približne 16 kB. Vo svojom kóde obsahuje jednoduchý backdoor, ktorý umožňuje vzdialený prístup k infikovanému systému. Aktivita červa je našťastie obmedzená a končí sa 28. januára... .

Počítačový červ Win32/Bagle.A (... alias Win32/Beagle alebo Win32/Bbgle) bol naprogramovaný v Assembleri. Podľa dostupných informácií sa v jeho kóde vyskytujú viaceré chyby, ktoré obmedzujú niektoré jeho funkcie. Ako už bolo spomenuté červ sa šíri prostredníctvom automaticky generovaných emailových správ, pre ktoré sú príznačné informácie obsiahnuté v ich predmete: "Hi" a obsahu: "Test =) [nasleduje niekoľko náhodných znakov] -- Test, yep." (... pozri obrázok). Súčasťou každej takejto emailovej správy je aj spustiteľný súbor s variabilným – náhodné vytvoreným názvom (... pozostávajúcim z 3 až 11 malých písmen) s príponou .EXE (... na niektorých systémoch sa pri tomto súbore zobrazí aj malá ikona kalkulačky). Veľkosť priloženého súboru je 15 872 bajtov.

K aktivácii spomenutého súboru môže dôjsť iba na priamy podnet zo strany používateľa, pričom hneď na začiatku si červ skontroluje aktuálny systémový dátum. Ak je dátum rovný 28. januáru alebo akémukoľvek neskoršiemu dňu červ ukončí svoju činnosť a počítač neinfikuje. V opačnom prípade vírus spustí program CALC.EXE, ktorý reprezentuje klasickú kalkulačku dostupnú v OS MS Windows. Kým sa používateľ snaží identifikovať čo sa vlastne deje, červ prekopíruje svoje telo do systémového adresára OS MS Windows, kde ho uloží do novo vytvoreného súboru BBEAGLE.EXE (... pri pohľade na tento súbor cez Prieskumník je pri ňom zobrazená ikona kalkulačky). Následne upraví systémové registre a zabezpečí si, aby k aktivácii uvedeného súboru dochádzalo pri každom ďalšom štarte počítača. Jedna sa o nasledujúce úpravy:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
... d3dupdate.exe = [cesta k systémovému adresáru OS]\bbeagle.exe

HKEY_CURRENT_USER\Software\Windows98
... frun = 1
... uid = [náhodný reťazec číslic]


V ďalšej fáze sa červ snaží vyhľadávať na disku infikovaného systému všetky súbory s príponami: .HTM, .HTML, .TXT a .WAB, z ktorých získava emailové adresy svojich nových potenciálnych "obetí". Následne automaticky vygeneruje emailové správy (... s vyššie uvedenými špecifikami) a odošle ich na všetky získané emailové adresy. Používa pri tom vlastnú SMTP rutinu, ktorá dokáže navyše "falšovať" aj emailovú adresu odosielateľa.
Okrem iného sa červ na infikovanom počítači snaží otvoriť port 6777, prostredníctvom ktorého sa k systému a jeho zdrojom môže dostať vzdialený útočník. Existuje tu riziko, že by práve vzdialený útočník mohol do takto nechráneného systému zaslať napríklad nový súbor (... obsahujúci aktualizáciu červa) a príkaz pre jeho okamžitú aktiváciu. Zabudnúť by sme nemali ani na to, že každá aktívna kópia červa Win32/Bagle sa pokúšala skontaktovať jeden z 36. predefinovaných serverov, ktorých úlohou bolo sumarizovať informácie o všetkých infikovaných počítačoch (... podľa všetkého autor červa získaval touto cestou ich IP adresy) a získať z neho trójskeho koňa TrojanProxy.Win32/Mitglieder. Avšak v čase písanie tohto popisu bol zo všetkých serverov odstránený skript slúžiaci pre sumarizáciu informácií o infikovaných systémoch a download spomenutého trójskeho koňa.

Podľa štatistík zverejnených a priebežne aktualizovaných na web serveroch spoločností Panda Software a MessageLabs. je zrejmé, že počítačový červ Win32/Bagle.A sa šíri intenzívne nielen u nás na Slovensku, ale aj v ostatných krajinách. Všetkým používateľom preto odporúčame, aby urýchlene vykonali aktualizáciu používaného AV-systému a boli oveľa opatrnejší pri práci s novými emailovými správami a ich prílohami, ktoré pochádzajú od neznámych odosielateľov. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo vyššie uvedený červ aktivovať vo svojom systéme ponúkame jednoúčelové AV-programy určené pre jeho rýchlu elimináciu – dostupné sú tak ako vždy v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
2004-04-28 15:35:00  Win32/Bagle.Z - Popisy vírusov
2004-03-26 13:30:00  Win32/Bagle.U & .V - Popisy vírusov
2004-03-15 07:45:00  Win32/Bagle.M - .T - Popisy vírusov
2004-03-01 07:45:00  Win32/Bagle.C - .E, .H - Popisy vírusov
2004-02-17 17:45:00  Win32/Bagle.B - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.