McAfee alza il livello di allarme per la nuova variante del noto worm. Si diffonde via e-mail sotto forma di file zip protetto da password
6 luglio 2004 Ennesima variante per il noto worm Bagle. McAfee ha alzato
la soglia di allarme fino al livello medio per Bagle.AD.
Si tratta di un worm che arriva via posta elettronica sotto forma di file zip
protetto da password. Quest’ultima è inclusa nel corpo del messaggio
o all’interno di un’immagine.
Gli utenti dovrebbe cancellare qualsiasi messaggio di posta contenente quanto
segue:
From: (l’indirizzo è falsificato)
Subject:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks 🙂
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document,0
Testo:
vari
Una volta attivato, il worm si duplica su cartelle presenti nella directory
di sistema che includono la frase “shar” nel nome, come le comuni
applicazioni peer-to-peer (Kazaa, Limewire e altre) e aggiunge la seguente chiave
di registro all’avvio del sistema: HKEY_CURRENT_USER\Software\Microsoft\
.
Windows\CurrentVersion\
Run "reg_key " = "C:\WINNT\
System32\loader_name.exe"
Il worm raccoglie gli indirizzi e-mail dai file locali e quindi
li utilizza nel campo “From” per auto-inviarsi. Inoltre si mette
in ascolto sulla porta TCP 1234 alla ricerca di connessioni
remote, cercando di avvisare l’autore che il sistema infetto è
pronto per accettare comandi.
Maggiori informazioni sono disponibili a questa pagina di McAfee.