互联网蠕虫病毒Bagle的新变体在全球流行
2004-02-28
corpease
尚易企业邮箱的反病毒合作伙伴卡巴斯基实验室已经检测到I-Worm.Bagle.b,它是恶名昭彰的互联网蠕虫Bagle的新变体,目前全球已有几百个用户发出被该病毒感染的消息。尚易企业邮箱提醒所有用户都必须加强防范。
保守地估计,全球被感染的邮件可能超过20000,这个数字还在稳步上升。看来这种蠕虫远不及恶贯满盈的Mydoom.a传播广泛。但是,在Mydoom.a.出现之前,在2004年传播最广的病毒是Bagle.a,它是目前流行的蠕虫病毒的前身。
I-Worm.Bagle的新变体在感染途径上和一些方面与其前辈相似。可疑程序在染毒附件里通过email传播,是一个可执行的视窗文件,大约11KB。这个染毒邮件的标题是'ID
x:thanks',内容写着Yours ID
x:Thank',两个x都伴随着随机的字符串。
侵入系统后,蠕虫将自身复制到Windows系统的地址目录里面并做自动运行注册。为了蒙蔽用户,该蠕虫还侵入
Windows的标准应用模块Sound
Recorder (sndrec32.exe)。接着,Bagle.b将与一些远程的、与木马代理服务器(TrojanProxy.Win32.Mitglieder)有链接的网站建立链接。很快,所有在互连网上能下载Mitglieder的链接全被删除。这表明I-Worm.Bagle.b不能用这种方法提高它的传播速度。
然而,对电脑最危险的威胁是该病毒的Trojan组件,它打开染毒电脑的8866端口并监控端口的活动,使该电脑对病毒的作者开放,以执行其指令或下载文件。
像其前身一样,I-Worm.Bagle.b使用了这类恶意代码传播的标准程序。它扫描染毒电脑中有wab,
txt, htm, html、 r1后缀的文件系统,然后将自身植入上述文件中所有的email地址。Bagle.b通过自己的SMTP服务器发送邮件。这个特殊的恶意程序的活动是限时的,它将按照程序在2004年2月25日停止传播。这或许是Bagle更新的变体产生、并在2月25日后开始传播的信号。
尚易企业邮箱已可防范 I-Worm.Bagle.b病毒。有关该病毒的更详尽的资料,请查询《卡巴斯基病毒百科全书》网页。(http://www.viruslist.com/eng/viruslist.html?id=942691)
|
