Bagle B.

Der er tale om en Windows email orm, først opdaget d. 17. January 2004. Ormen blev spredt globalt I løbet af 24 timer. Men vi har først d.19 februar fået tegn på en mere solid spredning I Danmark. Fra et teknisk sysnpunkt er Bagle.B ret simpel. Den spreder sig ved at udgive sig for at have en uskyldigt udseende mail besked, der ser ud til at indeholde en lyd-fil. Ormen er oprindeligt sendt som en slags spam ud til et stort antal brugere.

Dette er det tredie alvorlige virusudbrud på en måned

Bagle.B orm indeholder en bagdør som lytter til på TCP port 8866. Via denne bagdør kan forfatteren koble sig på de inficerede maskiner og  eksekvere vilkårlige programmer på dem.

Bagdøren kan være meget farlig, idet den giver virusforfatteren mulighed for at lægge ondsindet kode ind som først vil blive aktiveret på et senere tidspunkt. Dette kan f.eks bruges til at lægge spam relay agenter ud.

Bagle.B spreder sig via email beskeder, med varierende emne og indholdsbetegnelse:

Emne:
ID thanks

Indhold:
Yours ID  ....Thanks

Vedhæftet fil:
.exe

For at narre brugeren har ormen et eksekverbart ikon af en Lyd-fil. Når brugeren klikker på ikonet (exe-filen), spredes ormen yderligere. Derefter vil ormen køre Windows Sound Recorder applikationen.

Ormen samler email addresser fra den inficerede computer. Den vil gennemsøge text- og HTML-filer såvel som adressekartoteker og sende en kopi af sig selv til hver eneste adresse, undtagen adresser til domæner tilhørende Microsoft, MSN, Hotmail and AVP.
 
Ormen ophører med at sprede sig d. 25.februar 2004. Det er baseret på systemets dato, så ormen vil fortsat spredes til de maskiner der har forkerte dato’er. Denne funktion er tidligere set i Sobig virus’en som gav mulighed for at fjerne tidligere versioner, før et ny angreb gik i luften.

For teknisk beskrivelse og skærmbilleder se
http://www.f-secure.com/v-descs/bagle_b.shtml

F-secure har også udviklet et desinfektionsværktøj. Kontakt os evt. For mere info på Tlf.nr. 45411446