Apsaugos sistemų gamintoja bendrovė „Лаборатория Касперского“ pranešė apie internete pasirodžiusią naują žinomo viruso „I-Worm.Bagle“ versiją

Rusijos kompiuterinės apsaugos sistemų gamintoja bendrovė „Лаборатория Касперского“ pranešė apie internete pasirodžiusią naują žinomo viruso „I-Worm.Bagle“ versiją, pavadintą „I-Worm.Bagle.b“.

Minimaliais apskaičiavimais, šiuo metu pasauliniame tinkle yra daugiau nei 20 tūkst. šiuo virusu užkrėstų elektroninių laiškų ir šis skaičius nuolat auga. Nors šie rodikliai yra žymiai mažesni, nei garsiojo „Mydoom.a“, tačiau reikia atižvelgti, kad tai tik pradžia. Naujasis „I-Worm.Bagle“ savo funkcijomis labai panašus į savo pirmtaką. Jis plinta elektroniniu paštu, prie laiško prisegto 11 Kb dydžio faile. Tokio laiško antraštėje skelbiama „ID х... thanks“, o pačiame laiške yra tekstas: „Yours ID x: Thank“. Čia х pažymėtas atsitiktinis simbolių rinkinys.

Paleidus virusą, jis kopijuoja save į sisteminį „Windows“ katalogą ir registruojasi sisteminio registro automatinio paleidimo rakte. Taip pat, norėdamas suklaidinti vartotoją, virusas paleidžia standartinę „Windows“ programą „Sound Recorder“ („sndrec32.exe“). Vėliau „Bagle.b“ stengiasi susijungti su keliais tinklapiais, kokiu nors būdu susijusiais su „trojos“ proxy serveriu „TrojanProxy.Win32.Mitglieder“. Šiuo metu visos nuorodos į „Mitglieder“ yra pašalintos ir „I-Worm.Bagle“ negali tokiu būdu paspartinti savo plitimo. Didžiausią pavojų užkrėstam kompiuteriui kelia viruso kode esantis „trojos arklio“ komponentas. Jis atidaro 8866 jungtį ir tai suteikia piktavaliams galimybę perimti kompiuterio valdymą. Hakeriai tokiame kompiuteryje gali paleisti įvairias programas bei atsisiųsti norimus failus.

Dauginimuisi „I-Worm.Bagle.b“, kaip ir jo pirmtakas, naudoja standartinę šio tipo kenksmingoms programoms procedūrą. Jis peržiūri užkrėsto kompiuterio failus ieškodamas .wab, .txt, .htm, .html bei .r1 failų ir išsisiuntinėja visais šiuose failuose rastais elektroninio pašto adresais. Pašto išsiuntimui jis naudoja savo SMTP serverį.

Taip pat reikia pažymėti. kad „Bagle.b“ užprogramuotas nutraukti savo plitimą po š.m. vasario 25 d. Tačiau tai gali reikšti, kad nurodytą dieną internete pasirodys nauja „Bagle“ versija. Apsaugos priemones nuo „I-Worm.Bagle.b“ jau galima rasti „Антивирус Касперского“ duomenų bazėje, išsamesnė informacija apie šį „kirminą“ pateikiama „Kasperskio virusų enciklopedijoje“.