Vilma
-7 °C
4 °C

Windows-résen át fertőz az új Bagle féreg

2004.03.19. 13:04
A vírusirtó cégek a Bagle féregvírus négy újabb változatát fedezték fel csütörtökön, melyek annyiban térnek el a korábbiaktól, hogy nem csatolt fájlban terjednek, hanem a Windows egy több hónapja fefedezett biztonsági résén átcsúszva fertőzik meg a gépeket.
A csütörtökön felfedezett Bagle.Q-nak, és a hozzá nagyon hasonló Bagle.R-nek, Bagle.S-nek és Bagle.T-nek nevezett férgek a Windows egy biztonsági rését használják ki, így terjedésükhöz nincs szükség fájlmellékletre. A biztonsági hiba az Internet Explorerben található, és lehetővé teszi, hogy bizonyos kódok automatikusan lefussanak. A hiba javítását a Microsoft tavaly augusztusban adta ki.

Letölti a férget

Elődjeihez hasonlóan ez a változat is "Re: Hello", "Re: Hi.", "Incoming message", "Site changes" és hasonló tárgymegjelölésekkel érkezik, illetve meghamisítja a feladó emailcímét.

Ha a levelet megnyitják vagy megjelenítik az előnézeti ablakban, a Bagle először letölt egy php-szkriptet a kódjában megadott webhelyek valamelyikéről. A szkript azután letölti és futtatja magát a féregvírust.

Mivel nincs csatolt fájl, a féregvírus könnyebben kicselezi az antivírusszoftvereket. A Beagle.Q terjedését az is segíti, hogy a féreg "kapós" fájlneveken bemásolja magát minden olyan mappába, melynek nevében szerepel a "shar" szócska, azaz valószínűleg meg van osztva. Így a fájlcserehálózatokon is gyorsan elterjedhet. A féreg megpróbálja leállítani a vírusvédelmi alkalmazásokat is.

Lezárják a szervereket

Az F-Secure szakemberei már átadták a féregvírust tároló szerverek IP-címeit a hatóságoknak, melyek lezárják azokat, közölte Mikko Hyppönen, az F-Secure igazgatója.

Az antivíruscégek szerint a Bagle.Q változat a legelterjedtebb, az F-Secure kettes fokozatú riasztást adott ki vele kapcsolatban. Eddig húsz országból jelentettek fertőzéseket, a legtöbbet Dél-Koreából. A szakemberek felhívják a figyelmet a Bagle folyamatos fejlődésére: a mostani trükk előtt először szokásos mellékletben terjedt, majd zip-fájlokban, utána titkosított, jelszóval védett zip-fájlokban.

A felhasználóknak mindenekelőtt a windowsos biztonsági rés befoltozását javasolják. A javítás a Microsoft oldaláról letölthető. Eltávolító eszközt cikkünk megjelenéséig még nem adtak ki, de az antivírusprogramok frissítései már felismerik a férget.