Bagle.B atakuje
Pojawiła się mutacja wirusa Bagle. Bagle.B uruchamia się w pamięci komputera jako proces (serwer pocztowy SMTP) i masowo rozsyła się przy pomocy poczty elektronicznej lub poprzez port 8866. Prawdopodobnie pozostawia "tylne drzwi", umożliwiając hakerom przejęcie kontroli nad zainfekowanym komputerem.
Port 8866 pozostaje zwykle otwarty, nawet jeżeli zastosowany jest firewall. Powiązany jest on z usługą "Ultima Online messenger service". Obecnie firma Trend Micro bada, jakie komendy mogą zostać wykonane na komputerze z wykorzystaniem portu 8866. Przypuszcza się, że podobnie jak poprzednie wirusy, plik "tylnych drzwi" Bagle.B pozwala wykraść poufne dane, ściągnąć dane z Internetu a nawet uaktualnić wirusa.
Wiadomość e-mail, przy pomocy której rozprzestrzenia się wirus wygląda następująco:
Temat: ID
Od:
Treść wiadomości: Yours ID
--
Thank
Załącznik:
Po uruchomieniu załącznika, plik ukrywa się pod ikoną Windows Sound Recorder w folderze systemowym Windows. Próbuje także uruchomić program Windows Sound Recorder, aby zamaskować swoją działalność.
Podobnie jak wersja .A, Bagle.B posiada listę stron WWW zawierających podstronę 2.PHP, z którymi usiłuje się połączyć. Niemal wszystkie strony WWW, które zamierza zaatakować robak znajdują się w Niemczech (.DE).
Wirus zaprogramowany jest tak, aby zakończył działalność po 25 lutego 2004. Działa w komputerach z systemem operacyjnym Windows 95, 98, ME, NT, 2000 i XP. Rozmiar obecnej wersji wirusa(11,264 bajtów) jest nieco mniejszy od Bagle.A(15,872 bajtów)
Firma Trend Micro informując o wirusie udostępniła także bezpłatny skaner online Housecall potrafiacy wykryć także i tę odmianę wirusa. Znajdziesz go na stronie WWW: http://pl.trendmicro-europe.com/consumer/products/housecall_pre.php
