11:26 [Константин Серебряков]
Спамеры рассылают новую модификацию червя Bagle
- Производство процессоров AMD: репортаж с завода
- Выбираем корпус Midi Tower: тестирование 13-ти новейших моделей
- Устанавливаем систему развлечений в автомобиль: проблемы и решения
“Лаборатория Касперского“, российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщила об обнаружении новой опасной модификации известного сетевого червя Email-Worm.Win32.Bagle – Email-Worm.Win32.Bagle.bn.
Антивирусные эксперты “Лаборатории Касперского” зарегистрировали проведение двух массовых спам-рассылок писем, содержащих новый вариант червя. За рассылками последовало множество обращений пользователей, ставших получателями зараженной корреспонденции. По предположениям специалистов, рассылка направлена на поддержание в актуальном состоянии зомби-сетей (botnets) компьютеров, зараженных различными вариантами Bagle, что требуется для получения дополнительного дохода авторами вредоносной программы.
Bagle.bn был распространен через электронную почту в виде вложений в электронные письма. Червь представляет собой ZIP-файл размером 19 Кб, приложенный к письму с отсутствующим заголовком и текстом. При этом наименование содержащегося в ZIP-архиве файла выполнено в виде даты – 19_04_2005.exe.
Активизация червя производится пользователем при самостоятельной распаковке архивированного приложения к письму и последующего запуска зараженного файла. После запуска червь создает во временном каталоге Windows текстовый файл, содержащий текстовую строку Sorry, название которого начинается с символа “~” и имеет расширение txt. При этом данный текстовый файл открывается червем с помощью установленного по умолчанию текстового редактора Windows (чаще всего, Notepad).
Затем червь копирует себя в системный каталог Windows и регистрирует себя в ключе системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным. Параллельно Bagle.bn путем удаления ключей системного реестра блокирует повторный запуск антивирусных программ, а также доступ к обновлениям и сайтам антивирусных компаний.
Значительную опасность представляет также содержащаяся в I-Worm.Bagle.bn bot-компонента. Будучи активированной, она осуществляет постоянный мониторинг заданного автором вредоносной программы диапазона URL-адресов, находя новые вирусы, размещаемые злоумышленниками по этим адресам. В случае появления такого вредоносного файла, bot-компонента устанавливает его на зараженном компьютере и затем выполняет. Таким образом, это позволяет автору вируса управлять созданной bot-cетью по собственному желанию.
Процедуры защиты от I-Worm.Bagle.bn уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.
Популярные статьи на THG.ru:
Введите ключевые слова для поиска и нажмите Enter. |