Новый вирус Bagle.AM угрожает Интернету

За последние сутки было зафиксировано появление нового вируса Bagle.AM, также известного как Bagle.AQ и Bagle.AC. Относясь к семейству Bagle, появившемуся в январе этого года, эта новая версия также начала распространяться и заражать компьютеры пользователей.

Bagle.AM распространяется по электронной почте, рассылая файл в формате ZIP размером 6 КБ, содержащий скрытый файл с расширением EXE и файл HTML с аналогичным именем. Если пользователь запускает HTML файл, автоматически запускается и файл с расширением EXE.

Этот файл EXE копирует себя в систему и создает следующие ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe =
%systemdir%\WINdirect.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe =
%systemdir%\WINdirect.exe

С другой стороны, Bagle.AM создает и запускает библиотеку DLL в %systemdir%\_dll.exe размером 11,776 байтов, которая останавливает процессы под следующими именами: FIREWALL.EXE, ATUPDATER.EXE, winxp.exe, sys_xp.exe, sysxp.exe, LUALL.EXE, DRWEBUPW.EXE, AUTODOWN.EXE, NUPGRADE.EXE, OUTPOST.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ESCANH95.EXE, AVXQUAR.EXE, ESCANHNT.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVXQUAR.EXE, AVWUPD32.EXE, AVPUPD.EXE, CFIAUDIT.EXE, UPDATE.EXE, NUPGRADE.EXE, MCUPDATE.EXE .

Также вирус пытается загрузить поддельный файл JPG с нескольких Интернет адресов. Фактически, это еще один файл с расширением EXE, содержащий остаток червя Bagle.AM, который, будучи запущенным, распространяется по электронной почте.

Те пользователи, которые уже установили себе антивирусы с новыми технологиями TruPrevent от Panda Software, были защищены от этой угрозы превентивным способом, т.к. технологии были способны обнаружить и блокировать этот новый вирус, несмотря на то, что его характеристик на тот момент еще не было в вирусных базах.

©1997-2024 Компьютерная газета