Nuova variante del worm che apre backdoor e arresta i processi relativi ad antivirus e programmi di sicurezza
A più di un anno di distanza dalla prima comparsa, Bagle torna a far parlare
di sé. Le maggiori società di antivirus segnalano una nuova variante
(AY, AZ, BL a seconda delle denominazioni), rilevata in Cina, Stati Uniti, Giappone,
alcuni paesi europei.
Bagle arriva sotto come allegato di posta elettronica, spacciandosi
come conferma di ricezione o avviso e usando mittenti all’apparenza sicuri.
In particolare, bisogna prestare attenzione ai messaggi con le seguenti caratteristiche:
Oggetto:
DeliveryService Mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
Testo:
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active
Thanks for use of our software.
Before use read the help
Allegati (uno dei seguenti):
guupd02.exe
Jol03.exe
siupd02.exe
upd02.exe
viupd02.exe
wsd01.exe
zupd02.exe
Se avviato, il worm arresta diversi processi relativi a programmi antivirus
e di sicurezza. Inoltre, apre porte TCP a caso (cominciando
dalla 2339) da utilizzare come backdoor a disposizione del creatore del virus.
Il worm acquisisce poi ulteriori indirizzi di posta e deposita una copia del
codice virale nelle cartelle condivise per favorirne la diffusione tramite
LAN e reti P2P.
I sistemi operativi a rischio sono Windows 9x, ME, NT, 2000 e XP.
Ulteriori informazioni sul worm sono disponibili a queste pagine di F-Secure
e Trend Micro.
