PDA

Visualizza versione completa : W32.Bagle.AB - Allerta 4 - Update


Giorgius
11-05-2004, 13.29.02
Virus: Mcafee, Rischio Medio Per w32/bagle.Ab@mm

(ASCA) - Roma, 11 mag - Mcafee Avert (Anti-Virus Emergency Response Team) ha elevato la valutazione di rischio a media per il virus W32/Bagle.ab@MM, conosciuto anche come Bagle.ab. Attualmente, Mcafee Avert ha ricevuto piu' di cento segnalazioni del virus in poche ore, da report di identificazione e neutralizzazione, rilevati da utenti infetti principalmente negli Stati Uniti. Le segnalazioni sono provenienti dagli utenti stessi, come accaduto per altre versioni di Bagle durante gli ultimi tre mesi. Il worm Bagle.ab e' una minaccia mass mailing che raccoglie gli indirizzi dai file locali e li utilizza inserendoli nel campo ''From'' per autoinviarsi. Una volta attivato, il worm si duplica nelle cartelle di sistema che contengono la frase ''shar'' nel nome, come le applicazioni peer to peer, e aggiunge una chiave che si attiva all'avvio del sistema. Il worm quindi passa alla componente di accesso remoto del virus, che ricerca connessioni remote sulla porta Tcp 2535. Gli utenti devono essere molto cauti e dovrebbero immediatamente cancellare qualsiasi messaggio contenente quanto segue: From: (indirizzo contraffatto) Subject: Re: Msg reply, Re: Hello, Re: Yahoo!, Re: Thank you!, Re: Thanks :), RE: Text message, Re: Document, Incoming message, Re: Incoming Message, RE: Incoming Msg, RE: Message Notify, Notification, Changes.., New changes, Hidden message, Fax Message Received, Protected message, RE: Protected message, Forum notify, Site changes, Re: Hi, Encrypted document. Testo del messaggio: utilizza differenti frasi predefinite. Allegati, uno dei seguenti file: Information, Details, text_document, Readme, Document, Info, the_message, Details, MoreInfo, Message, You_will_answer_to_me, Half_Live, Counter_strike, Loves_money, the_message, Alive_condom, Joke, Toy, Nervous_illnesses, Manufacture, You_are_dismissed, Your_complaint, Your_money, Smoke, I_search_for_you. Dopo essere stato eseguito, Bagle.ab si invia tramite e-mail agli indirizzi presenti sull'host infetto come file .Zip, con la password contenuta nel testo del messaggio. Il virus ricerca, su una porta Tcp 2535, collegamenti remoti e cerca di avvisare l'autore che il sistema infetto e' pronto per accettare comandi, contattando diversi siti web e interpellando uno script Php su siti remoti. Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_125089.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4354 o successivi per proteggersi contro le attuali minacce Bagle.