Segnalato da McAfee e Trend Micro, il nuovo virus si diffonde via posta elettronica recuperando gli indirizzi dei destinatari da file locali. Inoltre, tenta di abilitare la connessione remota, comunicando il risultato al proprio autore
19 gennaio 2004 McAfee e Trend
Micro segnalano la diffusione di una nuova infezione virale, alla
quale, in virtù del numero di “vittime” che ha già fatto in Australia, Germania,
Giappone e Stati Uniti, è stato assegnato un grado di rischio medio. Si tratta
del worm Bagle (chiamato anche W32BAGLE@MM
o WORM_BAGLE.A) che include un componente per l’accesso remoto e si diffonde
tramite posta elettronica, spedendo un messaggio e allegando se stesso come file
con nome casuale ed estensione exe.
Il virus recupera gli indirizzi dei destinatari dai file
locali wab, txt, htm e html e li utilizza
per auto inviarsi utilizzando un motore Smtp proprietario. Il ricevente
non è quindi in grado di visualizzare il reale mittente. Il worm passa poi
nel componente di accesso remoto, che ricerca la possibilità di connessioni remote
sulla porta Tcp 6777. Bagle cerca quindi di avvisare il proprio autore di essere
pronto a ricevere comandi contattando vari siti web e richiamando uno script
presente sul sito remoto.
Per cautelarsi contro ogni evenienza, gli utenti dei software di posta
elettronica che usano come sistema operativo Windows 95, 98, Me, Nt, 2000 e Xp
dovrebbero cancellare tutti i messaggi caratterizzati dal seguente
contenuto:
DA: (l’indirizzo può essere
falsificato)
OGGETTO:
Hi
TESTO: Test =) (caratteri
casuali)
— Test,
yep.
ALLEGATO: (nome del file casuale).exe
Va da sé, che il consiglio per tutti è quello di aggiornare quanto prima le
definizioni dei virus del proprio software antivirus.
