Kolejne zagrożenie z sieci

Kolejny wirus krąży od wieczornych godzin 26 stycznia w sieci internet. Twórcy oprogramowania antywirusowego zaklasyfikowali go do średniej kategorii zagrożenia, co oznacza zainfekowanie dużej ilości komputerów i dalsze rozprzestrzenianie się.
Występuje on pod kilkoma nazwami i tak w/g McAfee to „W32/Bagle.bj@MM”, Symantec – „W32.Beagle.AY@mm”, Trend Micro – „WORM_BAGLE.AY”. Rozprzestrzenia się on poprzez pocztę e-mail, oraz poprzez sieci P2P (KaZaa, Bearshare, Limewire).

W polu tytułu wiadomości może pojawić się: „Delivery service mail”, „Delivery by mail”, „Registration is accepted”, „Is delivered mail” lub „You are made active”, jako tekst wiadomości: „Thanks for use of our software.” lub „Before use read the help”, jako załącznik występuje plik „Jol03”, „guupd02”, „siupd02”, „upd02”, „viupd02”, „wsd01”, „zupd02” z jednym z następujących rozszerze? „.com”, „.cpl”, „.exe”, „.scr”, wielkość pliku może być różna, jednak minimum to 18KB.
W przypadku sieci P2P intruz kopiuje się do katalogu w którego nazwie pojawia się wyraz „shar” i przybiera nazwy w których pojawiają się cyfry od 1 do 10 z rozszerzeniem „.exe” np: „Ahead Nero 7.exe”, „WinAmp 5 Pro Keygen Crack Update.exe”.
W przypadku jego uruchomienia kopiuje się jako „sysformat.exe” do katalogu systemowego (C:WindowsSystem32) i dokonuje następujacego wpisu w rejestrze:

„HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun „Sysformat” = „%System%sysformat.exe”

W ten sposób automatycznie uruchamia się przy każdym starcie systemu i stara się zako?czyć pracę zainstalowanych programów antywirusowych i firewall-ów. Zbiera adresy zapisane na dysku i wykorzystuje je do dalszego rozsyłania, ponadto zawiera również komponenty otwierajace „tylnie drzwi” do komputera.

Jak zwykle w takim przypadku najpewniejszym posunięciem jest nieotwieranie poczty z załącznikami niewiadomego pochodzenia oraz stała aktualizacja posiadanego oprogramowania antywirusowego.