Почтовый червь Bagle-KL распространяется через зашифрованные zip-файлы

23 июня 2006
118 различных методов маскировки червя, который пытается отключить защитное программное обеспечение

Эксперты лаборатории SophosLabs™, глобальной сети аналитических центров компании Sophos по проблемам борьбы с вирусами, шпионским программным обеспечением и спамом, объявили об обнаружении новой версии почтового компьютерного червя Bagle.

Червь W32/Bagle-KL распространяется после открытия приходящих по электронной почте zip-файлов, зашифрованных с использованием пароля. При этом случайный числовой пароль предоставляется получателю в виде, встроенным в изображение, которое находится в теле сообщения.

Почтовый червь Bagle-KL распространяется через зашифрованные zip-файлы

Электронные сообщения приглашают пользователя открыть вложенный zip-файл с использованием пароля.

Червь распространяется через сообщения электронной почты, в которых в строке темы указано имя, случайно выбранное из 118 разных имен, запрограммированных в теле самого вредоносного кода. Среди имен, например, следующие:

Ann, Anthonie, Constance, Emanual, Frances, Geoffraie, Harrye, Humphrie, Judith, Margerie, Michael, Nicholas, Robert, Winifred, Johen, Thomas

К таким сообщениям прикрепляются zip-файлы, которые создаются с использованием выбранного имени, например:

Edmund.zip, Nicholaus.zip, Dorithie.zip, Henry.zip, Daniel.zip, Nycholas.zip, Judeth.zip, Sybyll.zip, Winifred.zip, Bennett.zip и John.zip.

Внутри зашифрованного zip-файла находится копия червя.

В теле письма могут содержаться фразы, такие как: "I love you" (я тебя люблю) или "To the beloved" (возлюбленному), а также пятизначный пароль, который должен быть использован для открытия zip-файла:

Zip password: < image file >
или
Password is < image file >
или
Archive password is < image file >
или
Use password < image file > to open archive.

При проникновении в компьютер пользователя червь Bagle-KL пытается отключить различные защитные приложения и затем загрузить другой вредоносный код с одного из 99 различных веб-сайтов. Многие из веб-сайтов, с которых червь пытается загрузить вредоносные коды, находятся в Польше, России или Чехии.

"Bagle-KL рассылает себя по электронной почте, зашифрованным во вложенные zip-файлы, чтобы избежать обнаружения антивирусным ПО на шлюзах. Пользователи могут открыть zip-файл только введя пароль, который червь дает в виде графического изображения, встроенного в сообщение, - комментирует Грэхем Клули (Graham Cluley), старший технический консультант компании Sophos. - Пытаясь ускользнуть от фильтров электронной почты, червь использует случайный пароль для графического изображения и zip-файла. Пользователи поступят мудро, если смогут устоять от соблазна открыть подобные нежелательные вложения, и проверят дату обновления антивирусного ПО на своем компьютере".

Специалисты Sophos рекомендуют компаниям использовать в качестве защиты своей электронной почты комплексное решение, использующее автоматическое обновление баз данных для защиты от вирусов, шпионского ПО и спама, а также на уровне шлюзов принять политику фильтрования сообщений, содержащих незапрашиваемые исполняемые коды.

О компании Sophos

Sophos является мировым лидером по созданию комплексных решений для противодействия угрозам безопасности. Компания разрабатывает защиту от известных и неизвестных вредоносных программ, шпионских программ, вторжений, нежелательных приложений, спама и нарушений политик безопасности для корпоративного сектора, образовательных и правительственных учреждений. Надежные и простые в эксплуатации продукты Sophos применяют для своей защиты более 35 миллионов пользователей более чем в 150 странах. Имея за плечами 20-летний опыт работы и глобальную сеть аналитических центров, компания быстро реагирует на возникающие угрозы – независимо от уровня их сложности – и заслужила всеобщее одобрение в отрасли за высочайший уровень удовлетворения потребностей клиентов.

См. также:

Источник: www.sophos.com

8
;