Ny Bagle vira!

Efter at der har været stille omkring Bagle angreb – i en måned – er der nyt på vej.

Nogle af de gamle Bagle opdatere URL’s der blev aktiveret i går (30. nov. red.), og henter en ny 188kB exe fil. Denne fil bliver downloaded og kørt af maskiner der har været angrebet af tidligere Bagle variationer… og den starter med at spamme inficerede filer der taler om pris lister.

Spammen inkludere et GIF billede hvilket viser et password der skal bruges til at afkode ZIP filen.

Når den vedhæftede fil bliver afkodet og kørt af en bruger, vil ormen kører (som en afledning) enten notesblok eller registrerings editor. Notesblokken vil vise en falsk fejl meddelelse der ser sådan her ud:



Denne nye Bagle bruger også et SSDT rootkit til at skjule dens tilstedeværelse på et inficeret system.

Til administratorer: I skal måske tjekke jeres firewall logge for mistænksom aktivitet til www.bronko-m.ru og bpsbillboards.com… og blokere fremtidig tilgang til disse sites.

F-Secure detektere denne variant som W32/Bagle.GO

Venlig Hilsen

Support
C-Cure