22.04.2005г.
Спамеры рассылают нового Bagle
"Лаборатория Касперского", российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой опасной модификации известного сетевого червя Email-Worm.Win32.Bagle — Email-Worm.Win32.Bagle.bn.
Антивирусные эксперты "Лаборатории Касперского" зарегистрировали проведение двух массовых спам-рассылок писем, содержащих новый вариант червя. За рассылками последовало множество обращений пользователей, ставших получателями зараженной корреспонденции. По предположениям специалистов, рассылка направлена на поддержание в актуальном состоянии зомби-сетей (botnets) компьютеров, зараженных различными вариантами Bagle, что требуется для получения дополнительного дохода авторами вредоносной программы.
Bagle.bn был распространен через электронную почту в виде вложений в электронные письма. Червь представляет собой ZIP-файл размером 19 Кб, приложенный к письму с отсутствующим заголовком и текстом. При этом наименование содержащегося в ZIP-архиве файла выполнено в виде даты — 19_04_2005.exe.
Активизация червя производится пользователем при самостоятельной распаковке архивированного приложения к письму и последующего запуска зараженного файла. После запуска червь создает во временном каталоге Windows текстовый файл, содержащий текстовую строку Sorry, название которого начинается с символа ~ и имеет расширение txt. При этом данный текстовый файл открывается червем с помощью установленного по умолчанию текстового редактора Windows (чаще всего, Notepad).
Затем червь копирует себя в системный каталог Windows и регистрирует себя в ключе системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным. Параллельно Bagle.bn путем удаления ключей системного реестра блокирует повторный запуск антивирусных программ, а также доступ к обновлениям и сайтам антивирусных компаний.
Значительную опасность представляет также содержащаяся в I-Worm.Bagle.bn bot-компонента. Будучи активированной, она осуществляет постоянный мониторинг заданного автором вредоносной программы диапазона URL-адресов, находя новые вирусы, размещаемые злоумышленниками по этим адресам. В случае появления такого вредоносного файла, bot-компонента устанавливает его на зараженном компьютере и затем выполняет. Таким образом, это позволяет автору вируса управлять созданной bot-cетью по собственному желанию.
Источник: "CNews.ru"
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики
