Вирусная тревога: новая версия BC червя Bagle

Лаборатория PandaLabs обнаружила появление версии BC червя Bagle. Новый вредоносный код начал распространяться очень быстро, вызвав огромное количество заражений по всему миру. По этой причине Panda Software объявила вирусную тревогу, присвоив ей статус оранжевого цвета.

Bagle.BC распространяется по электронной почте. Сообщения с этим вирусом могут иметь следующие характеристики:
- Тема (одна из следующих): Re:, Re:Hello, Re:Hi, Re:Thank you!, Re:Thanks :)
- Сообщение: :) ó :))
- Вложения (одно из следующих): Joke, Price, price
- Расширение этих файлов может быть: com, cpl, exe or scr.
- Bagle.BC подделывает адреса отправителя в сообщениях, содержащих вирус.

Когда пользователь открывает вложение, Bagle.BC просматривает электронные адреса для рассылки своих копий в файлах с определенными расширениями, в которых он был сохранен на зараженном компьютере. Для того чтобы распространиться на большее число компьютеров Bagle.BC копирует себя во все директории, чьи имена содержат текстовую строку 'shar', которые обычно являются папками с общим доступом. Таким образом, он может распространиться по сети и в приложениях P2P. Для достижения этой цели червь использует множество привлекательных имен для привлечения пользователей, такие как: ACDSee 9.exe, Adobe Photoshop 9 full.exe или Ahead Nero 7.exe.

Bagle.BC также завершает процессы многих антивирусных программ, оставляя компьютер уязвимым перед атаками других вредоносных кодов, что делает Bagle.BC еще более опасным червем. Однако Bagle.BC не может дезактивировать технологии TruPrevent, поэтому компьютеры, защищенные этими технологиями, находятся в безопасности.

Еще одна опасная функция Bagle.BC – это то, что он открывает коммуникационный порт TCP 81, позволяя хакерам осуществить вторжение. Также он пытается загрузить файл с именем G.JPG с определенных веб адресов.

Для обеспечения своего постоянного присутствия на компьютере Bagle.BC создает три своих копии с именами: wingo.exe, wingo.exeopen и wingo.exeopenopen и вносит записи в Реестр Windows для обеспечения их запуска в момент загрузки компьютера.

По словам Льюиса Корронса, главы Лаборатории PanaLabs, "Bagle.BC – новая попытка продолжить кибер-войну, начавшуюся несколько месяцев назад между несколькими группами вирусописателей. В данный момент этот вредоносный код использует социальную инженерию и распространяется очень быстро. Эти две характеристики делают Bagle.BC особенно опасным, и вероятность, что пользователи получат зараженное сообщение, очень высока".

Для предотвращения заражения вирусом Bagle.BC Panda Software советует пользователям принять необходимые меры и обновить свое антивирусное ПО.

©1997-2024 Компьютерная газета