Masový výskyt nového červa Bagle.AB
Martin Vataha / 30. 04. 2004, 00:00
Laboratória po celom svete zaznamenali masový výskyt nového červa Bagle.AB, viac informácií o tomto víruse ako aj o jeho aktivite a možnostiach odstrániť ho nájdete v článku.
Vírusové laboratóriá spoločnosti Panda Software zaznamenali včera a dnes výrazne zvýšenú vírusovú aktivitu, ktorú má na svedomí nový červ W32/Bagle.AB.worm. Tento červ sa prvý krát objavil 28.apríla a už stihol infikovať veľké množstvo počítačov. Podľa štatistík skenera Panda ActiveScan je Slovensko najviac napadnutou krajinou. Niektoré organizácie hlásia rapídne zvýšený počet správ, zavírených týmto vírusom.
Bagle.AB je červ, ktorý sa šíri prostredníctvom správ elektronickej pošty, ktoré majú rôzne charakteristiky a cez P2P programy pre zdieľanie súborov. Podrobné informácie o charakteristikách e-mailových správ a spôsobu šírenia prostredníctvom P2P aplikácií nájdete tu.
Bagle.AB ukončuje procesy niektorých antivírusov a firewallov, ako aj iných bezpečnostných aplikácií, podobne ako iné červy, ktoré sa už objavili. Okrem toho sa pokúša cez port 2535 pripojiť na rôzne webové stránky, ktoré používajú PHP skript. Takto červ upozorní svojho autora, že počítač bol napadnutý.
Prítomnosť červa Bagle.AB v počítači nie je ťažké zistiť, pretože červ zobrazí falošnú chybovú správu hneď po tom ako napadne počítač: 
Bagle.AB vytvára v systémovom adresári Windows nasledujúce súbory:
DRVDDLL.EXE a DRVDDLL.EXEOPEN. Tieto súbory sú kópie červa.
DRVDDLL.EXEOPENOPEN. Tento súbor vo VBS formáte vytvára a spúšťa kópiu červa v napadnutom počítači.
Červ vytvára tiež nasledujúci záznam vo Windows registry:
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
drvddll.exe = %sysdir%\ drvddll.exe
kde %sysdir% je Windows systémový adresár.
Vytvorením tohto záznamu si Bagle.AB zabezpečí svoje spustenie pri každom spustení Windowsu.
Bagle.AB je naprogramovaný v jazyku Visual.C. Jeho veľkosť je približne 20.000 bytov a je komprimovaný pomocou UPX.
Aby sa používatelia vyhli napadnutiu červom Bagle.AB, spoločnosť Panda Software už vytvorila aktualizácie svojich produktov, ktoré sú k dispozícii pre používateľov a zabezpečia ich riešenia, aby dokázali detekovať a eliminovať tohto červa. Tých, ktorých softvér nie je konfigurovaný na automatické aktualizovanie sa, by mali okamžite aktualizovať svoje riešenia na http://www.pandasoftware.sk.
Spoločnosť Panda Software tiež uvoľnila svoju utilitu PQremove, ktorá v infikovanom počítači detekuje a eliminuje červa Bagle.AB. Táto aplikácia rovnako obnovuje všetky zmeny, ktoré tento červ vykonal v konfigurácii systému.
Nástroj PQRemove je voľne dostupný a môžete si ho stiahnuť na http://www.pandasoftware.sk/download/forms/download_pqremove.htm.
Zdroj : Tlačová správa, Bratislava, 29. apríl 2004