INVIA QUESTA NOTIZIA AD UN AMICO

20 gennaio 2004  07:11:04
Nome Virus  
Bagle Rischio:  Medio
Rilevato il: 18 gennaio 2004
Tipo: Trojan
Sistemi operativi attaccabili: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Sistemi operativi immuni: DOS, Linux, Macintosh, Microsoft IIS, OS/2, UNIX, Windows 3.x
Caratteristiche

Il worm si diffonde via posta elettronica utilizzando un proprio motore SMTP.
E' un  mass-mailing worm che si autoinvia a tutti gli indirizzi di posta elettronica che trova all’interno dei file della macchina attaccata aventi le seguenti estensioni:

  • wab
  • txt
  • htm
  • html

I messaggi infetti hanno le seguenti caratteristiche:

Indirizzo del mittente: è casuale e viene scelto tra gli indirizzi delle macchine infette, ma il mittente in realtà è un'altro.

Come si presenta la e-mail

Da: indirizzo e-mail casuale che non identifica il reale mittente
Oggetto:Hi
Messaggio:
Test =)
<.... seguito da caratteri casuali>
--
Test, yep.

Allegato: <nome casuale>.exe (15872 byte)

Cosa accade se il worm viene attivato:

Se l'utente avvia il file infetto, il worm controlla la data di sistema e se questa corrisponde al 28 gennaio 2004 o ad una data successiva termina le proprie operazioni, ma gli esperti ritengono che potrebbe continuare a imperversare in vaste zone del pianeta, soprattutto in quelle che non utilizzano il formato americano per la data (mm/gg/aaaa), come l'Italia (che usa gg/mm/aaaa).

Il worm copia se stesso, usando il nome file bbeagle.exe, nella cartella di sistema di Windows (%system%\bbeagle.exe).
Modifica poi il file di registro per poter essere eseguito ad ogni riavvio del sistema operativo:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

Va precisato che la variabile %System% fa riferimento al percorso della cartella di sistema di Windows e può variare con il sistema operativo utilizzato. Più precisamente per default è localizzata in C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oppure in C:\Windows\System32 (Windows XP).

Il worm scansiona poi il sistema alla ricerca di indirizzi e-mail contenuti nei file con estensione .wab, .txt, .htm e .html ed invia un messaggio infetto a tutti gli indirizzi rilevati, aggiungendo una copia di se stesso in allegato.
Il worm ricerca la possibilita' di connessioni remote sulla porta Tcp 6777 tentando di comunicare contattando vari siti web probabilmente per ricercare aggiornamenti.

I maggiori produttori di antivirus hanno già aggiornato i loro programmi e quindi per proteggersi dal worm è sufficiente scaricare gli aggiornamenti.


Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di allegati provenienti da conoscenti, ma che non erano attesi e di aggiornare costantemente il programma antivirus

Alias
I-Worm.Bagle, W32/Bagle@MM, W32.Beagle.A@mm, W32/Bagle-A, Bagle
Maggiori informazioni e rimozione
Antivirus aggiornato
TrendMicro   Symantec



 

 

 
dot_ltblue.gif (41 byte)