Российский разработчик систем защиты от вирусов, хакерских атак и спама компания «Лаборатория Касперского» сообщила о новой опасной модификации известного сетевого червя Email-Worm.Win32.Bagle — Email-Worm.Win32.Bagle.bn. Этот червь был замечен в двух массовых спам-рассылках писем электронной почты.
Bagle.bn распространяется через электронную почту в виде вложений в электронные письма. Червь представляет собой ZIP-файл размером 19 Кбайт, приложенный к письму с отсутствующим заголовком и текстом. При этом наименование содержащегося в ZIP-архиве файла выполнено в виде даты — 19_04_2005.exe.
Активизация червя производится пользователем при самостоятельной распаковке архивированного приложения к письму и последующего запуска зараженного файла. После запуска червь создает во временном каталоге Windows текстовый файл, содержащий текстовую строку «Sorry», название которого начинается с символа «~» и имеет расширение txt. При этом данный текстовый файл открывается червем с помощью установленного по умолчанию текстового редактора Windows (чаще всего, Notepad).
Затем червь копирует себя в системный каталог Windows и регистрирует себя в ключе системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным. Параллельно Bagle.bn удаляет соответствующие ключи системного реестра и блокирует повторный запуск антивирусных программ, а также доступ к обновлениям и сайтам антивирусных компаний.
Кроме того, в черве I-Worm.Bagle.bn содержится опасная bot-компонента. После активизации она осуществляет постоянный мониторинг заданного автором вредоносной программы диапазона URL-адресов, находя новые вирусы, размещаемые злоумышленниками по этим адресам. В случае появления такого вредоносного файла, bot-компонента устанавливает его на зараженном компьютере и затем выполняет. Таким образом, это позволяет автору вируса управлять созданной bot-cетью по собственному желанию.
Процедуры защиты от I-Worm.Bagle.bn уже добавлены в базу данных Антивируса Касперского, так что пользователям настоятельно рекомендуется провести обновление своего антивирусного ПО.
(пресс-релиз «Лаборатории Касперского»)
