Bagle.j snyder virus scannerne med passwordbeskyttet zip-fil
Her kan du få scannet din PC online
Virusnavn:
W32/bagle.j
Også kendt som:
W32/Bagle.j@MM, WORM_BAGLE.J, Win32.Bagle.J, W32/Bagle-J
Kom til landet:
02-03-2004 20:58:34
Systemer der rammes:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 og Windows XP.
Systemer der IKKE rammes:
DOS, Linux, Macintosh, OS/2, UNIX og Windows 3.x.
Kort beskrivelse:
En ny virus/orm der blev opdaget den 2. marts 2004 bliver på grund af dens opbygning ikke stoppet af særlig mange anti-virus leverandører. Hverken Norman, McAFee, Sophos, F-secure, Clam AV eller Kaspersky har kunnet stoppe den indtil videre. Grunden hertil er, at den kommer i en ZIP-pakket (komprimeret) fil med password beskyttelse. Det betyder at, for at få adgang til til filen (ormen) skal man indtaste et hemmeligt password. Dette password står så i den nydeligt udformede e-mail, der iøvrigt er perfekt tilpasset modtageren, se eksempler længere nede.
Det skal dog tilføjes, at de fleste af de større anti-virus leverandører kan detektere den efter den er hentet ned og er pakket ud. Hvis anti-virus programmet er helt opdateret vel-at-mærke.
Comendo's unikke PVR (Pre Virus Recognition) system blokerer for ormen og lægger e-mailen i karantæne.
Vi opfordrer endnu en gang alle til, at kikke efter en ekstra gang, før vedlagte filer klikkes og åbnes.
Hvad gør den:
Den vil først åbne en bagdør på TCP port 2745, der reelt kan give adgang til en hacker. Dernæst forsøge at sprede sig via e-mail og høster adresser fra følgende filer: .wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin og .cgi. Den forsøger ligeledes at nedlukke services der har noget med sikkerhed at gøre, firewall eller anti-virus programmer.
Den spreder sig også via peer-to-peer netværk såsom Kazaa og iMesh, ved at kopiere sig ned i delte mapper som en af følgende filnavne: ACDSee 9.exe, Adobe Photoshop 9, full.exe, Ahead Nero 7.exe, Matrix 3 Revolution English Subtitles.exe, Microsoft Office 2003 Crack, Working!.exe, Microsoft Office XP working Crack, Keygen.exe, Microsoft Windows XP, WinXP Crack, working Keygen.exe, Opera 8 New!.exe, Porno pics arhive, xxx.exe, Porno Screensaver.scr, Porno, sex, oral, anal cool, awesome!!.exe, Serials.txt.exe, WinAmp 5 Pro Keygen Crack Update.exe, WinAmp 6 New!.exe, Windown Longhorn Beta Leak.exe, Windows Sourcecode update.doc.exe og XXX hardcore images.exe.
Skadesvurdering:
Medium.
Udbredelsesvurdering:
Lav. Ca. 1.200 stoppede på førstedagen.
Inficeringsprocent da denne info blev udsendt:
14,3%, svarende til at 1 ud af 7 e-mails er inficeret med virus.
Størrelse:
12.288 bytes (12KB)
Afsender:
Forfalsket og udformet så man tror den kommer fra en af de følgende adresser fra eget domæne:
management@, administration@, staff@, noreply@ eller support@.
Emne i e-mail:
En af de følgende: E-mail account disabling warning, E-mail account security warning, Email account utilization warning, Important notify about your e-mail account, Notify about using the e-mail account, Notify about your e-mail account utilization eller Warning about your e-mail account.
Navn på vedhæftede fil:
En af de følgende: Attach, Information, Readme, Document, Info, TextDocument, TextFile, MoreInfo eller Message.
Eksempler på e-mail:
---------------------------------------------------------
Eksempel 1:
---------------------------------------------------------
Looking forward for a response :P
..btw, "31245" is a password for archive
---------------------------------------------------------
Eksempel 2:
--------------------------------------------------------
Dear user, the management of .dk mailing system wants to let you know that,
Your e-mail account has been temporary disabled because of unauthorized access.
Please, read the attach for further details.
For security purposes the attached file is password protected. Password is "33845".
Kind regards,
The .dk team
http://www..dk
---------------------------------------------------------
Eksempel 3:
---------------------------------------------------------
Hello user of .dk e-mail server,
Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.
Please, read the attach for further details.
For security reasons attached file is password protected. The password is "33845".
Have a good day,
The .dk team
http://www..dk
--------------------------------------------------------
Eksempel 4:
--------------------------------------------------------
Dear user of ".dk" mailing system,
Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.
Please, read the attach for further details.
In order to read the attach you have to use the following password: 33845.
Sincerely,
The .dk team
http://www..dk
---------------------------------------------------------
Eksempel 5:
--------------------------------------------------------
Dear user of .dk gateway e-mail server,
Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
Advanced details can be found in attached file.
Attached file protected with the password for security reasons. Password is 45151.
Kind regards,
The .dk team
http://www..dk
---------------------------------------------------------
Fra:
http://www.norman.com/virus_info/w32_bagle_j_mm.shtml
Question:
Neither my email scanner nor my on-demand scanner seem to detect this worm. Why?
Answer:
Several variants of this worm come in a password protected archive. As the scanner does not know the password, it will not be able to scan the content of the archive before it is unzipped. However, you should never open attachments that potentially can contain malicious content.