“Лаборатория Касперского” (http://www.kaspersky.ru/) сообщает об обнаружении новой модификации известного сетевого червя “Email-Worm.Win32.Bagle ” – ” Email-Worm.Win32.Bagle.bn”.
Антивирусные эксперты “Лаборатории Касперского” зарегистрировали проведение двух массовых спам-рассылок писем,
содержащих новый вариант червя, сообщает интернет-издание “Вебпланета”. За рассылками последовало множество обращений пользователей, ставших получателями зараженной корреспонденции.
“Bagle.bn” был распространен в виде вложений в электронные письма. Червь представляет собой ZIP-файл размером 19 Кб, приложенный к письму с отсутствующим заголовком и текстом. При этом наименование содержащегося в ZIP-архиве файла выполнено в виде даты – 19_04_2005.exe.
Активизация червя производится пользователем при самостоятельной распаковке архивированного приложения к письму и последующего запуска зараженного файла. После запуска червь создает во временном каталоге Windows текстовый файл, содержащий текстовую строку “Sorry”, название которого начинается с символа “~” и имеет расширение txt.
Затем червь копирует себя в системный каталог Windows и регистрирует себя в ключе системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным. Параллельно “Bagle.bn” путем удаления ключей системного реестра блокирует повторный запуск антивирусных программ, а также доступ к обновлениям и сайтам антивирусных компаний.
Значительную опасность представляет также содержащаяся в “I-Worm.Bagle.bn” bot-компонента. Будучи активированной, она осуществляет постоянный мониторинг заданного автором вредоносной программы диапазона URL-адресов, находя новые вирусы, размещаемые злоумышленниками по этим адресам. В случае появления такого вредоносного файла, bot-компонента устанавливает его на зараженном компьютере и затем выполняет. Таким образом, это позволяет автору вируса управлять созданной bot-cетью по собственному желанию.