Rask spredning av ny Bagle-orm

Flere antivirusselskaper melder om stor aktivitet fra en ny orm i Bagle-serioen.

Den nye Bagle-ormen som ble oppdaget torsdag, W32.Bagle.ab@mm - men også kjent som W32/Bagle.af@MM og W32.Beagle.AB@mm, spres gjennom først og fremst via e-post, men også via delte nettverksressurser og P2P-tjenester. Det er først og fremst kommet rapporter om infeksjoner fra Nord-Amerika. I statistikkene for Norge, er derimot ormen nærmest fraværende - i hvert fall foreløpig. Her dominerer i stedet den litt eldre ZAFI.B-ormen.

Bagle.ab har en innebygd motor for utsendelse av e-post basert på SMTP-protokollen. Den forfalsker avsenderadressene slik at det ser ut som om e-posten stammer fra e-postadresser ormen har samlet i det smittede systemet. Det er også disse adressene e-postene vil bli sendt til.

For å spres gjennom delte nettverksmapper, søker ormen etter lokale mapper med et navn som inneholder strengen "shar". Den antar at disse mappene er delte og kopierer seg selv som en kopi inn i mappene. Den gir seg selv attraktive filnavn som ACDSee 9.exe, Adobe Photoshop 9 full.exe, Ahead Nero 7.exe eller Porno Screensaver.scr. Disse filene kan også dukke opp i fildelingstjenester som Kazaa.

Ormen har også en bakdør. Den åpner en TCP-port - det er litt uklart om det er snakk om port 1080 eller 1234, for blant annet Symantec omtaler begge porter hver for seg i ulike dokumenter. Ormen åpner også tilfeldige UDP-porter og gjør fjernkommunikasjon mulig via disse portene. Deretter lytter den etter og utfører forhåndsdefinerte kommandoer som sendes gjennom disse portene. Bakdøren gjør det også mulig for uvedkommende å få tilgang til de infiserte systemene. Ormen kontakter også en et PHP-skript ved en rekke tyske webservere.

I tillegg fjerner Bagle-ormene fortsatt oppføringer i Windows-registeret som er blitt opprettet av Netsky-ormer. Dessuten angriper den sikkerhetsprogramvare ved å avslutte dem.

Ormen vil utslette seg selv den 5. mai 2006, ved å fjerne registeroppføringene som får den til å starte samtidig som Windows.

Bagle.ab vil kun smitte Windows-systemer, og er komprimert ved hjelp av UPX-algoritmen.

Til toppen