Il popolare worm rinasce in un’inedita variante. L’infezione può arrivare via posta elettronica o attraverso l’uso di programmi P2P
19 luglio 2004 Il virus Bagle torna a far parlare di sé. I maggiori
produttori di antivirus hanno infatti suonato il campanello d’allarme
per le varianti AF (o AB a seconda delle denominazioni). Il rischio per
gli utenti è al livello medio-alto.
I sistemi operativi a rischio sono: Windows 2000, Windows 9x, Windows Me, Windows
NT, Windows XP.
Bagle.AF arriva generalmente via e-mail sottoforma di file zip protetto
da password. Quest’ultima è inclusa nel testo del messaggio
oppure all’interno di un’immagine. Il PC può essere infettato
anche attraverso l’uso di programmi peer-to-peer (P2P).
L’oggetto del messaggio è variabile e può
includere le seguenti frasi: Re: Msg reply, Re: Hello, Re: Thank you!, Re:
Document, Re: Incoming Message, Notification, Site changes e altri ancora.
Anche il testo del messaggio può variare: Read
the attach, Your file is attached, See attach, Your document is attached, Please,
read the document, See the attached file for details, Here is the file
sono fra i più diffusi.
Il virus fa una copia di se stesso nella cartella di sistema sotto il nome
di sysxp.exe e aggiunge la seguente chiave nel registro di Windows: HKEY_CURRENT_USER\Software\Microsoft\Windows\.
CurrentVersion\Run "key" = "C:\WINNT\SYSTEM32\sysxp.exe
In seguito il worm cerca di aprire la porta 1080 in ascolto
di comandi per l’esecuzione di codice maligno da remoto.
Bagle è balzato agli onori della cronaca a gennaio di quest’anno.
Da allora sono state più di venti le varianti di questo virus.
Ulteriori informazioni sul virus si possono consultare alle pagine di McAfee,
F-Secure
o Symantec
(questa in italiano).
