Новый вариант червя Bagle, похоже, быстро распространяется. «Лаборатория Касперского» заявляет, что вирус уже вызвал серьезную вспышку, и использует ряд методов для обеспечения распространения.
Червь приходит по электронной почте с рядом коротких сообщений в полях темы и сообщения и прикрепленным файлом с именем wsd01, viupd02, siupd02, guupd02, zupd02, upd02 или Jol03. Файлы являются либо исполняемыми файлами Windows (.exe), либо могут иметь предваряющую заглушку апплета панели управления Windows (CPL).
После запуска червь копирует себя локально и редактирует реестр, чтобы обеспечить его запуск при каждом включении компьютера.
Он сканирует жесткий диск на наличие адресов электронной почты, которые использует для своего распространения. Однако он избегает отправки своих копий антивирусным компаниям и адресам электронной почты, которые могут быть связаны со службами помощи и поддержки.
Чтобы избежать обнаружения как можно дольше, Bagle ищет и закрывает любые запущенные процессы, которые, по его мнению, связаны с антивирусным программным обеспечением или программным обеспечением безопасности. Это оставит систему открытой для дальнейших атак.
Он также копирует себя под разными именами файлов в папки с «shar» в названии в надежде, что они будут скопированы в файлообменные сети и через общие ресурсы в локальных сетях.
Кроме того, он открывает бэкдор, прослушивая команды через порт 81. Он сообщает злоумышленнику о наличии зараженной системы, связываясь с набором URL-адресов. Автор дополнительно защищает бэкдор от использования другими злоумышленниками, шифруя канал и добавляя пароль защита.
Большинство антивирусных компаний уже добавили новый вариант Bagle в свои базы данных, и их клиенты должны быть защищены, если их программное обеспечение обновлено.
