Tom's Hardware Italia
Schede madre

Ecco la nuova variante del worm Bagle.AD

Il worm Bagle ha una nuova variante, la Bagle.AD che ha fatto alzare l’allarme in casa McAfee. Questo worm arriva via mail in formato zip protetto da password. Il messaggio, che dovrebbe far allarmare gli utenti, contiene il seguente testo: From: (l’indirizzo è falsificato) Subject: Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! […]

Il worm Bagle ha una nuova variante, la Bagle.AD
che ha fatto alzare
l’allarme in casa McAfee.
Questo worm arriva via mail in
formato zip protetto da password.

Il messaggio, che dovrebbe far allarmare gli utenti, contiene il
seguente testo:

From: (l’indirizzo è falsificato)

Subject:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks 🙂
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document,0

Testo:
vari

Il worm si duplica su cartelle presenti nella
directory di sistema che includono la frase âÂ?Â?sharâÂ? nel nome, come le
comuni applicazioni peer-to-peer (Kazaa, Limewire e altre) e aggiunge
la seguente chiave di registro all’avvio del sistema: HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion Run "reg_key " = "C:WINNT
System32loader_name.exe"
.

Il worm raccoglie gli indirizzi e-mail dai file locali e
quindi li utilizza nel campo âÂ?Â?FromâÂ? per auto-inviarsi. Inoltre si mette
in ascolto sulla porta TCP 1234 alla ricerca di
connessioni remote, cercando di avvisare l’autore che il sistema
infetto è pronto per accettare comandi.

Informazioni più precise al seguente link:
http://vil.nai.com/vil/content/v_126562.htm