Зафиксированы массовые спам-рассылки нового варианта Bagle // 30 Ноября 2012

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой опасной модификации известного сетевого червя Email-Worm.Win32.Bagle - Email-Worm.Win32.Bagle.bn.

Антивирусные эксперты "Лаборатории Касперского" зарегистрировали проведение двух массовых спам-рассылок писем, содержащих новый вариант червя. За рассылками последовало множество обращений пользователей, ставших получателями зараженной корреспонденции. По предположениям специалистов, рассылка направлена на поддержание в актуальном состоянии зомби-сетей (botnets) компьютеров, зараженных различными вариантами Bagle, что требуется для получения дополнительного дохода авторами вредоносной программы.

"Bagle.bn" был распространен через электронную почту в виде вложений в электронные письма. Червь представляет собой ZIP-файл размером 19 Кб, приложенный к письму с отсутствующим заголовком и текстом. При этом наименование содержащегося в ZIP-архиве файла выполнено в виде даты - 19_04_2005.exe.

Активизация червя производится пользователем при самостоятельной распаковке архивированного приложения к письму и последующего запуска зараженного файла. После запуска червь создает во временном каталоге Windows текстовый файл, содержащий текстовую строку "Sorry", название которого начинается с символа "~" и имеет расширение txt. При этом данный текстовый файл открывается червем с помощью установленного по умолчанию текстового редактора Windows (чаще всего, Notepad).

Затем червь копирует себя в системный каталог Windows и регистрирует себя в ключе системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным.

Параллельно "Bagle.bn" путем удаления ключей системного реестра блокирует повторный запуск антивирусных программ, а также доступ к обновлениям и сайтам антивирусных компаний.

Значительную опасность представляет также содержащаяся в 'I-Worm.Bagle.bn' bot-компонента. Будучи активированной, она осуществляет постоянный мониторинг заданного автором вредоносной программы диапазона URL-адресов, находя новые вирусы, размещаемые злоумышленниками по этим адресам. В случае появления такого вредоносного файла, bot-компонента устанавливает его на зараженном компьютере и затем выполняет. Таким образом, это позволяет автору вируса управлять созданной bot-cетью по собственному желанию.

Процедуры защиты от "I-Worm.Bagle.bn " уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.

Источник: Служба новостей "Лаборатории Касперского"