På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

Ny Bagle vira!

Efter at der har været stille omkring Bagle angreb – i en måned – er der nyt på vej.

Nogle af de gamle Bagle opdatere URL’s der blev aktiveret i går (30. nov. red.), og henter en ny 188kB exe fil. Denne fil bliver downloaded og kørt af maskiner der har været angrebet af tidligere Bagle variationer… og den starter med at spamme inficerede filer der taler om pris lister.

Spammen inkludere et GIF billede hvilket viser et password der skal bruges til at afkode ZIP filen.

 

 


 

Når den vedhæftede fil bliver afkodet og kørt af en bruger, vil ormen kører (som en afledning) enten notesblok eller registrerings editor. Notesblokken vil vise en falsk fejl meddelelse der ser sådan her ud:



Denne nye Bagle bruger også et SSDT rootkit til at skjule dens tilstedeværelse på et inficeret system.

Til administratorer: I skal måske tjekke jeres firewall logge for mistænksom aktivitet til www.bronko-m.ru og bpsbillboards.com… og blokere fremtidig tilgang til disse sites.

F-Secure detektere denne variant som W32/Bagle.GO

Venlig Hilsen

Support
C-Cure

Powered by wpsnet.com