Bagle-haittaohjelman variantti leviää aktiivisesti

Bagle-haittaohjelman uusi variantti, Bagle.B (I-Worm.Bagle, W32.Beagle.B@mm, WORM_BAGLE.B, W32/Tanx.A), leviää aktiivisesti. Haittaohjelma havaittiin ensimmäisen kerran 17.2.2004 ja se on ohjelmoitu lopettamaan leviämisensä 25.2.2004. Bagle.B-haittaohjelma leviää sähköpostin liitetiedoston välityksellä. Haittaohjelman sisältämien sähköpostiviestien otsikkotieto ja liitetiedoston nimi vaihtelevat. Haittaohjelma väärentää myös sähköpostin lähettäjätiedot.

Bagle.B-haittaohjelman sisältämän sähköpostin otsikko noudattaa muotoa:

'ID [vaihtuvia merkkejä]... thanks'

Bagle.B-haittaohjelman sisältämän sähköpostin sisältö noudattaa muotoa:

Yours ID [vaihtuvia merkkejä]

--
Thank

Haittaohjelman sisältämä sähköpostiviesti sisältää audio-tiedostoa esittävän kuvakkeen. Kun liitetiedosto suoritetaan, haittaohjelma käynnistää Windows Sound Recorderin käynnistämällä Windows-sovelluksen sndrec32.exe.

Haittaohjelma sisältää myös takaporttiominaisuuden avaten saastuneeseen tietojärjestelmään TCP-portin 8866.

Bagle.B lähettää tiedon saastuneesta tietojärjestelmästä Internetissä sijaitseville palvelimelle, jotka ovat:

Saastuttaessaan kohdejärjestelmän haittaohjelma kopioi itsensä hakemistoon:

%sysdir%\au.exe

Haittaohjelma lisää rekisteriasetuksiin seuraavan arvon:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] "au.exe" = %sysdir%\au.exe

%sysdir% on Windows-käyttöjärjestelmän System-hakemisto.

Haittaohjelma käyttää myös seuraavia rekisteriavaimia:

[HKCU\SOFTWARE\Windows2000\gid]

[HKCU\SOFTWARE\Windows2000\frn]

Haittaohjelma etsii sähköpostiosoitteita saastuneen tietojärjestelmän seuraavista tiedostoista:

.html
.htm
.wab
.txt

Varoituksen kohderyhmä

  • Microsoft Windows- käyttöjärjestelmällä varustetut tietojärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustunnistustietokannan ajantasaisuudesta

  • Älä avaa mitään epäilyttäviä sähköpostin liitetiedostoja

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Bagle.B-haittaohjelman sisältämät sähköpostiviestit

  • Poista Bagle.B-haittaohjelma manuaalisesti saastuneesta tietojärjestelmästä CERT-FI-ohjeen 2/2004 mukaisesti: http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-02.htm

Lisätietoa

http://www.f-secure.com/v-descs/bagle_b.shtml

http://www.nai.com/us/security/home.asp

http://www.sophos.com/virusinfo/analyses/w32tanxa.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.b@mm.html

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=44777

http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-02.htm

VERSIOHISTORIA:

17.2.2004 Ensimmäinen versio julkaistu

18.2.2004 Toinen versio julkaistu: Lisätty tietoa haittaohjelman sisältämästä kuvakkeesta, rekisteriavaimista sekä
haittaohjelman manuaalisesta poistamisesta.

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248