Kolejne zagrożenie z sieci

Kolejny wirus krąży od wieczornych godzin 26 stycznia w sieci internet. Twórcy oprogramowania antywirusowego zaklasyfikowali go do średniej kategorii zagrożenia, co oznacza zainfekowanie dużej ilości komputerów i dalsze rozprzestrzenianie się.
Występuje on pod kilkoma nazwami i tak w/g McAfee to “W32/Bagle.bj@MM”, Symantec – “W32.Beagle.AY@mm”, Trend Micro – “WORM_BAGLE.AY”. Rozprzestrzenia się on poprzez pocztę e-mail, oraz poprzez sieci P2P (KaZaa, Bearshare, Limewire).

W polu tytułu wiadomości może pojawić się: “Delivery service mail”, “Delivery by mail”, “Registration is accepted”, “Is delivered mail” lub “You are made active”, jako tekst wiadomości: “Thanks for use of our software.” lub “Before use read the help”, jako załącznik występuje plik “Jol03”, “guupd02”, “siupd02”, “upd02”, “viupd02”, “wsd01”, “zupd02” z jednym z następujących rozszerze? “.com”, “.cpl”, “.exe”, “.scr”, wielkość pliku może być różna, jednak minimum to 18KB.
W przypadku sieci P2P intruz kopiuje się do katalogu w którego nazwie pojawia się wyraz “shar” i przybiera nazwy w których pojawiają się cyfry od 1 do 10 z rozszerzeniem “.exe” np: “Ahead Nero 7.exe”, “WinAmp 5 Pro Keygen Crack Update.exe”.
W przypadku jego uruchomienia kopiuje się jako “sysformat.exe” do katalogu systemowego (C:WindowsSystem32) i dokonuje następujacego wpisu w rejestrze:

“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “Sysformat” = “%System%sysformat.exe”

W ten sposób automatycznie uruchamia się przy każdym starcie systemu i stara się zako?czyć pracę zainstalowanych programów antywirusowych i firewall-ów. Zbiera adresy zapisane na dysku i wykorzystuje je do dalszego rozsyłania, ponadto zawiera również komponenty otwierajace “tylnie drzwi” do komputera.

Jak zwykle w takim przypadku najpewniejszym posunięciem jest nieotwieranie poczty z załącznikami niewiadomego pochodzenia oraz stała aktualizacja posiadanego oprogramowania antywirusowego.