25.04.2005, 05:46

Uut Bagle-t sisaldavate rämpskirjade masspostitus

Pressiteade

Kaspersky Lab, viiruste, häkkerirünnakute ja rämpsposti vastaste kaitsesüsteemide arendaja, teatab, et avastati tuntud võrguussi “Email-Worm.Win32.Bagle ” uus ohtlik modifikatsioon “Email-Worm.Win32.Bagle.bn”.

Kaspersky Lab-i viirusetõrjeeksperdid registreerisid kaks — uut ussivarianti sisaldavat — rämpskirjade masspostitust. Saadetisele järgnes hulk pöördumisi nakatunud korrespondentsi saanud arvutikasutajatelt. Spetsialistide arvamuse järgi peavad saadetised elus hoidma arvutite zombivõrke (botnets), mis on nakatatud Bagle´i erinevate variantidega ja mida kahjurprogrammide autorid vajavad lisatulude saamiseks. “Bagle.bn”-i levitati e-posti kirjamanustena. Uss kujutab endast ZIP-faili suurusega 19 KB, mis on kirjale lisatud ilma päise ja tekstita. Seejuures on ZIP-arhiivis asuva faili nimetus kujundatud kuupäevana — 19_04_2005.exe.

Kasutaja aktiveerib ussi, kui ta avab kirjamanuse ja käivitab nakatunud faili. Pärast käivitumist loob uss Windows-i ajutises kaustas tekstifaili, mis sisaldab rea ”Sorry”, failinimetus algab sümboliga ”~” ja tal on laiend txt. Nimetatud tekstifaili avab uss vaikimisi paigaldatud Windows-i tekstitoimetaja (tavaliselt Notepad) abil. Seejärel kopeerib uss end Windows-i süsteemikausta ja registreerub süsteemiregistri võtmes. Seejuures katkestab kahjur arvutit ja kohtvõrku kaitsvad protsessid ning jätab rünnatud arvuti kaitseta. Samaaegselt blokeerib “Bagle.bn” süsteemiregistrivõtmete eemaldamisega viirusetõrjeprogrammide käivitumise operatsioonisüsteemi stardil ja ligipääsu uuendustele ning viirusetõrjefirmade veebilehtedele.

Olulist ohtu kujutab endast ka “Email-Worm.Win32.Bagle.bn”-is sisalduv bot-komponent. Aktiivsena skaneerib see pidevalt kahjurprogrammi autori poolt etteantud URL-aadresside diapasooni ja leiab uusi viiruseid, mida küberkurjategijad on neile aadressidele jätnud. Sobiva kahjurfaili leidmisel, paigaldab bot-komponent selle nakatunud arvutisse ja seejärel täidab. See kõik lubab viiruse autoril käsitseda loodud bot-võrku oma suva järgi.

Kommenteeri Loe kommentaare