Bagle-haittaohjelma leviää aktiivisesti

Bagle-haittaohjelma on tyypiltään sähköpostimato, joka leviää sähköpostin liitetiedoston välityksellä. Bagle lähettää madon sisältämiä sähköpostiviestejä otsikolla "Hi" arpoen viestin sisältämän .exe -liitetiedoston nimen automaattisesti. Haittaohjelma etsii saastuttamastaan tietojärjestelmästä Windows Address Bookin (osoitekirja) sisältämiä wab-tiedostoja sekä text, htm ja html-tiedostoja etsien niistä sähköpostiosoitteita. Tämän jälkeen Bagle lähettää itsensä oman SMTP (Simple Mail Transfer Protocol) -koneistonsa avulla löytämiinsä sähköpostiosoitteisiin väärentäen lähettämiensä sähköpostien lähettäjätiedot.

Mato avaa saastuneeseen tietojärjestelmään takaportin, joka kuuntelee TCP portissa 6777. Tämä toiminto mahdollistaa hyökkääjän suorittavan kohdetietojärjestelmässä omia komentojaan ja/tai siirtää kohdetietojärjestelmään omia tiedostojaan. Bagle saattaa yrittää myös ladata saastuttamaansa tietojärjestelmään Mitglieder-nimisen troijalaisen hevosen. Lisätietoja Mitglieder troijalaisesta on saatavilla mm. osoitteesta: http://www.f-secure.com/v-descs/mitglied.shtml

Saastuttaessaan kohdetietojärjestelmän Bagle kopio itsensä Windows System hakemistoon nimellä "bbeagle.exe". Bagle-mato lisää myös tiedostonimen Windows-käyttöjärjestelmän rekisteriin seuraavasti:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe]

Tämän rekisteriavaimen tarkoituksena on varmistua siitä, että mato aktivoituu, kun Windows-käyttöjärjestelmä käynnistetään. Bagle lisää Windows-käyttöjärjestelmän rekisteriin myös arvot:

[HKCU\Software\Windows98\frun]

[HKCU\Software\Windows98\uid]

Kun mato käynnistyy kohdetietojärjestelmässä ensimmäistä kertaa se käynnistää Windows Calculator (laskin) -ohjelman merkkinä saastumisesta.

Bagle-madon lähettämät sähköpostiviestit sisältävät seuraavat tiedot:

Subject: Hi
Body: Test =)
<random characters)

--
Test, yep.

Attachment: <random characters>.exe

Bagle lopettaa leviämisensä 28. päivä tammikuuta 2004.

Varoituksen kohderyhmä

  • Microsoft Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustorjuntatietokannan ajantasaisuudesta

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Bagle-haittaohjelman sisältämät sähköpostiviestit

Lisätietoa Bagle-madon manuaalisesta poistamisesta saastuneesta tietojärjestelmästä on saatavilla CERT-FI:n julkaisemasta ohjeesta 1/2004, joka on saatavilla osoitteesta:

http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-01.htm

Lisätietoa

http://www.f-secure.com/v-descs/bagle.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html

http://vil.nai.com/vil/content/v_100965.htm

http://www.sophos.com/virusinfo/analyses/w32baglea.html

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=43789

http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-01.htm

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248