Bagle AO

F-Secure opdagede d. 1. september 2004 Bagle AO. 

Der er tale om en variant af BagleAN. Ormen sender en folder ud kaldet FOTOS.ZIP som indeholder en FOTO.HTM fil og en skjult fil kaldet CALC.EXE, som ligger i en skjult folder kaldet '1'. 

Det interessante ved denne orm kombineret med en troyan er, at den formodes at være sendt som spam, altså u-autoriseret e-mail distribution.

CALC.EXE filen er en "dropper" for troyanen Glieder.I som downloader Bagle.AO filen fra en af de mange websider, hvor ormens forfatter har placeret den under filnavnet B.JPG to several websites. 

Glieder.I udfører forskellige opgaver som f.eks. monitorering og terminering af forskellige sikkerhedsrelaterede opdateringsprogrammer; check af predefinerede URL lister i søgen efter en specifik  fil og hvis den er der, downloades og ekskveres den. Den manipulerer også med cached URL'er på brugerens maskine.

F-Secure antivirus er i stand til at detektere Bagle AO med opdateringen Version=2004-09-01_04.

Der er ikke tale om et massivt udbrud, men et forholdsvist moderat angreb i Danmark indtil videre. C-cure vurderer i øvrigt heller ikke at angrebet vil tiltage, idet de fleste antivirusprogrammer er i stand til at finde Bagle AO på nuværende tidspunkt.

Der var i TV2 Nyhederne d. 1. september en kort rulletekst om Bagle, læs evt. TV2's artikel på TV2. Eller se detaljeret beskrivelse hos F-Secure .

F-Secure frigiver inden kort tid et spamfilter som supplement til F-Secure antivirus.
C-cure kan desuden anbefale, at man ser nærmere på MailMarshal.

 

Forfatter: Mette Nikander

Microsoft 365 security

Microsoft 365 security

Powered by wpsnet.com -  Menu design based on CC-BY: html5up.net