«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой модификации известного сетевого червя «I-Worm.Bagle» — «I-Worm.Bagle.b». В настоящее время получено несколько сотен сообщений от пользователей по всему миру, получивших зараженную данным вирусом корреспонденцию, — сообщили корреспонденту областной интернет-газеты «Вслух.Ру» в пресс-центре «Лаборатории Касперского».
По минимальным оценкам, количество содержащих «Bagle.b» писем, зарегистрированное в глобальном почтовом трафике, составляет более 20 000, и их число стремительно увеличивается. Эти показатели существенно скромнее масштабов охвата знаменитого червя Mydoom.a, однако до его появления самым распространенным червем 2004 года был именно предыдущий вариант «Bagle» — «Bagle.a».
Новая версия «I-Worm.Bagle» функционально во многом повторяет свою предшественницу. Вредоносная программа распространяется через электронную почту в виде вложений в электронные письма. Червь представляет собой исполняемый в среде Windows файл размером 11 Кб, приложенный к письму с заголовком «ID х… thanks» и текстом «Yours ID x: Thank», где х — произвольный набор символов.
После запуска червь копирует себя в системный каталог Windows и регистрируется в ключе автозапуска системного реестра. При этом для дезориентации пользователя червь инициирует запуск стандартной утилиты Windows, Sound Recorder (sndrec32.exe). Затем Bagle. b пытается установить соединение с несколькими удаленными сайтами, так или иначе связанными с «троянским» прокси-сервером TrojanProxy. Win32.Mitglieder. В настоящее время ссылки на все сетевые источники загрузки Mitglieder удалены, и «I-Worm.Bagle» не способен использовать данную технологию для увеличения темпов самораспространения.
Однако наибольшую опасность для зараженного компьютера представляет встроенная в тело червя троянская компонента. Она открывает на пораженной машине порт 8866 и в дальнейшем отслеживает его работу. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.
Для размножения «I-Worm.Bagle.b», как и его предшественник, использует процедуру, стандартную для данного вида вредоносных программ. Он сканирует файловую систему пораженного компьютера в поисках файлов с расширениями wab, txt, htm, html и r1 и рассылает себя по всем найденным в них адресах электронной почты. Для отправки почты червь использует собственный SMTP-сервер. Активность данной вредоносной программы ограничена во времени: червь запрограммирован на прекращение саморазмножения после 25 февраля 2004 года, что может свидетельствовать о подготовке новой версии «Bagle», которая появится в Интернете после указанной даты.
Процедуры защиты от «I-Worm.Bagle.b» уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.
