Nieuwe variant van Bagle-virus
gesignaleerd
WAARSCHUWINGSDIENST BEVEILIGINGSADVIES
WD-2004-185
Nieuwe variant van Bagle-virus
gesignaleerd
| Programma: |
worm |
| Versie: |
- |
| Besturingssysteem: |
Microsoft
Windows |
Samenvatting
Er is een nieuwe variant gesignaleerd van het Bagle-virus. Als u een e-mail ontvangt met
als onderwerp "Re:", "Re: Hello", "Re: Thank
you!", "Re: Thanks :)" of "Re: Hi", met als
inhoud van het bericht alleen de tekens ":))" en een bijlage met de naam
"price" of "joke", open de bijlage dan niet en gooi het
bericht direct weg. Het virus verspreidt zich ook via peer-to-peer-netwerken.
Vrijwel alle antivirus-leveranciers geven
dit virus een andere naam. Het staat (in willekeurige volgorde) bekend als Bagle-AZ
(Sophos), BAGLE.AM (Trend Micro en Computer Associates), Bagle.BB (Panda), Bagle.az
(McAfee), Bagle.AS (F-Secure) en Beagle.AR (Symantec).
Gevolgen
Als u een bijlage opent bij een besmette
e-mail, of het virus binnenhaalt via een peer-to-peer-netwerk,
gebeurt het volgende:
- Het virus probeert uw virusscanner te
stoppen;
- Het virus verstuurt zichzelf in een e-mail
naar alle e-mailadressen die het kan vinden op uw computer;
- Het afzenderadres van de mails die het
virus verstuurt wordt vervalst;
- Het virus opent een backdoor, waardoor uw computer op afstand kan worden misbruikt
door een aanvaller;
- Als zich op uw computer een
peer-to-peer-toepassing bevindt (zoals Kazaa of eDonkey) biedt het virus zichzelf onder
valse namen aan anderen aan via deze dienst.
Oplossingen
- Verwijder ontvangen e-mail met bijlagen
die u niet vertrouwt, direct.
- Installeer tevens de laatste update van uw
anti-virusprogramma en voer vervolgens een controle uit op
uw pc.
Links
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40288
http://www.sarc.com/avcenter/venc/data/w32.beagle.ar@mm.html
http://www.f-secure.com/v-descs/bagle_as.shtml
http://hq.mcafeeasap.com/dispVirus.asp?virus_k=128582
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AM
http://www.sophos.com/virusinfo/analyses/w32bagleaz.html
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=52684
Technische details
- De backdoor luistert op TCP- en UDP-poort
81.
- Het virus verspreidt zich door:
- zichzelf te e-mailen naar alle adressen
die op het systeem worden gevonden, met vervalst afzenderadres;
- zichzelf te kopiëren naar alle mappen met
de string
shar in de naam -- dit geldt voor vrijwel alle mappen die worden
gedeeld met peer-to-peer-programma's als Kazaa. De namen waaronder u het virus op
peer-to-peer-netwerken kunt aantreffen zijn:
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Windows XP, WinXP Crack, working
Keygen.exe
- Microsoft Office XP working Crack,
Keygen.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Porno Screensaver.scr
- Serials.txt.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Porno pics arhive, xxx.exe
- Windows Sourcecode update.doc.exe
- Ahead Nero 7.exe
- Windown Longhorn Beta Leak.exe
- Opera 8 New!.exe
- XXX hardcore images.exe
- WinAmp 6 New!.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- Adobe Photoshop 9 full.exe
- Matrix 3 Revolution English Subtitles.exe
- ACDSee 9.exe
- Met deze Bagle-variant besmette e-mails
hebben een aanhangsel met de naam Joke, Price of price, extensie COM, CPL, EXE of SCR.
- Het virus probeert diverse varianten van
het Netsky-virus te verwijderen, en probeert ook allerlei antivirus-producten en firewalls
te stoppen.
- De volgende bestanden worden aangemaakt:
- %System%
\bawindo.exe
- %System%
\bawindo.exeopen
- %System%
\bawindo.exeopenopen
- %System%
\re_file.exe
waar %System% staat
voor de Systeemmap:
- C:\Windows\System
(Windows
95/98/Me)
- C:\Winnt\System32
(Windows NT/2000)
- C:\Windows\System32
(Windows XP)
- Om na een herstart van de PC zichzelf
automatisch weer in te laden wordt in de registersleutel
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
in het veld bawindo de waarde %System%\bawindo.exe
geschreven.
Bron: waarschuwingsdienst.nl
