Repórter News - www.reporternews.com.br
Nova variante do Bagle tenta baixar imagens JPG
Uma nova variante do Bagle foi descoberta e está se espalhando rapidamente pela Internet. O Bagle.AS tem como uma de suas características a tentativa de acesso a várias páginas da Web que hospedam arquivos de imagem JPG. A variante surge exatamente no momento em que existe uma expectativa entre os especialistas para o aparecimento de um vírus que explore a vulnerabilidade em programas de processamento de imagens neste formato.
Classificado como I-Worm.Bagle.as, W32.Beagle.AR@mm, W32/Bagle.az@MM e WORM_BAGLE.AM, dependendo da empresa antivírus, o worm já recebeu classificações que variam entre baixo e médio risco.
Como suas variantes mais recentes, o novo Bagle vasculha o disco rígido da vítima em busca de endereços eletrônicos de e-mail e usa seu próprio mecanismo de envio de mensagens. Tenta também se propagar por meio de pastas compartilhadas em rede e programas P2P, como o Kazaa e atinge os sistemas operacionais Windows 2000 e XP.
Dentre suas características, está uma backdoor (porta traseira) que abre a porta TCP 81 e uma porta UDP, segundo a empresa F-Secure. Isto possibilita a um atacante obter acesso remoto ao sistema infectado. De acordo com a Trend Micro, o worm também impede a execução de alguns programas de segurança, como antivírus e firewall.
O Bagle.AS chega por e-mail com um arquivo anexado nomeado como "Price", "price" ou "Joke", de extensões variadas como .exe, .scr, .com e .cpl. No campo de assunto mostra expressões de saudações como "Hello", "Re: Thanks :)" e "Re: Hi". O corpo da mensagem contém apenas um símbolo usado na Internet, que indica um sorriso: :)
Ao ser executado, o worm instala a backdoor que dá acesso remoto ao sistema e cria um mutex (objeto de exclusão mútua) para impedir que uma variante do Netsky rode no sistema, além de apagar suas possíveis entradas de registro. Para garantir que seja ativado cada vez que o sistema for reiniciado, cria uma entrada no registro com os nomes "bawindo" ou "bawindo.exe".
A praga também tenta se conectar a uma longa lista de endereços se sites da Internet que deveriam conter imagens JPG, possivelmente preparadas para explorar vulnerabilidades no sistema. Entre elas estão: www.24-7-transportation.com/ws.jpg; www.adhdtests.com/ws.jpg e www.aegee.org/ws.jpg. No entanto, tais endereços não estão mais acessíveis.
Classificado como I-Worm.Bagle.as, W32.Beagle.AR@mm, W32/Bagle.az@MM e WORM_BAGLE.AM, dependendo da empresa antivírus, o worm já recebeu classificações que variam entre baixo e médio risco.
Como suas variantes mais recentes, o novo Bagle vasculha o disco rígido da vítima em busca de endereços eletrônicos de e-mail e usa seu próprio mecanismo de envio de mensagens. Tenta também se propagar por meio de pastas compartilhadas em rede e programas P2P, como o Kazaa e atinge os sistemas operacionais Windows 2000 e XP.
Dentre suas características, está uma backdoor (porta traseira) que abre a porta TCP 81 e uma porta UDP, segundo a empresa F-Secure. Isto possibilita a um atacante obter acesso remoto ao sistema infectado. De acordo com a Trend Micro, o worm também impede a execução de alguns programas de segurança, como antivírus e firewall.
O Bagle.AS chega por e-mail com um arquivo anexado nomeado como "Price", "price" ou "Joke", de extensões variadas como .exe, .scr, .com e .cpl. No campo de assunto mostra expressões de saudações como "Hello", "Re: Thanks :)" e "Re: Hi". O corpo da mensagem contém apenas um símbolo usado na Internet, que indica um sorriso: :)
Ao ser executado, o worm instala a backdoor que dá acesso remoto ao sistema e cria um mutex (objeto de exclusão mútua) para impedir que uma variante do Netsky rode no sistema, além de apagar suas possíveis entradas de registro. Para garantir que seja ativado cada vez que o sistema for reiniciado, cria uma entrada no registro com os nomes "bawindo" ou "bawindo.exe".
A praga também tenta se conectar a uma longa lista de endereços se sites da Internet que deveriam conter imagens JPG, possivelmente preparadas para explorar vulnerabilidades no sistema. Entre elas estão: www.24-7-transportation.com/ws.jpg; www.adhdtests.com/ws.jpg e www.aegee.org/ws.jpg. No entanto, tais endereços não estão mais acessíveis.
Fonte:
InfoGuerra
URL Fonte: https://www.reporternews.com.br/noticia/373538/visualizar/
Comentários