Новый вирус Bagle.AM угрожает Интернету

Было зафиксировано несколько случаев инфицирования новым вирусом. Первая версия червя Bagle появилась 7 месяцев назад.
Екатеринбург, 10 августа, 2004

За последние сутки было зафиксировано появление нового вируса Bagle.AM, также известного как Bagle.AQ и Bagle.AC. Относясь к семейству Bagle, появившемуся в январе этого года, эта новая версия также начала распространяться и заражать компьютеры пользователей. В соответствии с большим количеством инцидентов заражения этим вирусом, Panda Software объявила вирусную тревогу, получившую статус «оранжевой».

Те пользователи Panda Software, которые уже установили себе антивирусы с новыми технологиями TruPrevent, были защищены от этой угрозы превентивным способом, т.к. технологии были способны обнаружить и блокировать этот новый вирус, несмотря на то, что его характеристик на тот момент еще не было в вирусных базах (более подробная информация о новых технологиях TruPrevent доступна по адресу www.pandasoftware.com/truprevent).

Руководитель лаборатории PandaLabs Луис Корронс заявил: «Bagle.AM – еще один представитель большого семейства червей, появившегося 7 месяцев назад. Посылая файл, содержащий ссылку на цены или пароли, он делает ставку на человеческий фактор, пытаясь ввести пользователей в заблуждение. Он сочетает различные методы заражения. Количество инцидентов может возрасти в течение последующих часов, и тот факт, что множество пользователей по всему миру любят побродить по Интернету в свободное время, делает ситуацию еще опасней».

Bagle.AM распространяется по электронной почте, рассылая файл в формате ZIP размером 6 КБ, содержащий скрытый файл с расширением EXE и файл HTML с аналогичным именем. Если пользователь запускает HTML файл, автоматически запускается и файл с расширением EXE.

Этот файл EXE копирует себя в систему и создает следующие ключи в реестре:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe =
%systemdir%WINdirect.exe

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe =
%systemdir%WINdirect.exe

С другой стороны, Bagle.AM создает и запускает библиотеку DLL в %systemdir%\_dll.exe размером 11,776 байтов, которая останавливает процессы под следующими именами:

FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

Также вирус пытается загрузить поддельный файл JPG с нескольких Интернет адресов. Фактически, это еще один файл с расширением EXE, содержащий остаток червя Bagle.AM, который, будучи запущенным, распространяется по электронной почте.

Для предотвращения заражения червем Bagle.AM Panda Software советует пользователям принять меры предосторожности и обновить свое антивирусное ПО. Соответствующие обновления Panda Software уже доступны для клиентов и помогут им обнаружить и уничтожить этот новый вредоносный код.

Зарегистрированные пользователи Panda Software также могут воспользоваться возможностью и установить новые технологии TruPrevent в дополнение к имеющемуся антивирусу, чтобы защитить себя превентивным образом от этого или другого вредоносного кода. Кроме того, для пользователей антивирусной защиты другого разработчика Panda Software предлагает продукт, совместимый с любым антивирусом, - Panda TruPrevent Personal. Он предоставит вторую линию защиты в тот момент, пока антивирус еще не обновлен, снижая риск заражения. Более подробная информация о новых технологиях TruPrevent доступна по адресу www.pandasoftware.com/truprevent.

Для получения более подробной информации о черве Bagle.AM и прочих компьютерных угрозах, предлагаем Вам посетить страницу Вирусной Энциклопедии Panda по адресу: http://www.viruslab.ru/

Помимо этого, пользователи могут проверить свой компьютер онлайн совершенно бесплатно, с помощью технологии ActiveScan. Это можно сделать на сайте нашей компании по адресу: http://www.viruslab.ru

О PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
10:15
912
RSS
Нет комментариев. Ваш будет первым!
Загрузка...
X
X