Неспособные к размножению клоны Bagle вызывают новую эпидемию
«Лаборатория Касперского» сообщила об обнаружении ряда модификаций известного сетевого червя "Email-Worm.Win32.Bagle". Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы, отличительной особенностью которой является отсутствие функции размножения.
Данное исполнение червя, относящее программу к классу так называемых "ntended" червей, исключает самостоятельное распространение зловредного кода с пораженного компьютера. Вместе с тем, многочисленные случаи обнаружения в почтовом трафике новых модификаций Bagle подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.
Новые варианты Bagle были разосланы через электронную почту в виде вложений в электронные письма. Червь представляет собой исполняемый в среде Windows файл, приложенный к письму с произвольными либо отсутствующими заголовком и текстом. Название, равно как формат и размер приложенного файла, также произвольно. Это не позволяет выявить зараженное письмо по его формальным признакам, тем самым конечного пользователя к максимальной осторожности.
Активизация червя производится по инициативе пользователя, открывшего приложение к письму и тем самым запустившего зараженный файл. После запуска червь копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным.
В настоящее время антивирусными аналитиками «Лаборатории Касперского» обнаружены 9 различных вариантов "Email-Worm.Win32.Bagle". То, что различие между ними незначительно и состоит в используемой для упаковки зараженного файла утилите, позволило использовать единую процедуру выявления и нейтрализации всех новых модификаций червя. Она добавлена в базу данных Антивируса Касперского как Email-Worm.Win32.Bagle.pac.
