Компьюлента. 19 марта 2004 года, 12:02
Специалисты компании Sophos обнаружили еще четыре модификации вредоносной программы Bagle. Данный червь, напомним, появился около двух месяцев назад, и с тех пор авторы выпустили порядка полутора десятков версий вируса.
Изначально Bagle распространялся по электронной почте в виде вложенных в письмо исполняемых файлов. После неосторожного запуска такого файла пользователем компьютера червь регистрировал себя в реестре операционной системы Windows и пытался разослать копии кода по найденным на машине адресам. Более поздние варианты вредоносной программы научились прятать собственный код внутри защищенных паролем архивов форматов ZIP и RAR. Причем пароль к архиву указывался в теле сообщения в графическом виде, что существенно осложняло процесс идентификации Bagle.
Обнаруженные в четверг модификации Bagle.Q, Bagle.R, Bagle.S и Bagle.T и вовсе не требуют от пользователя выполнения каких-либо действий. Более того, письма теперь даже не содержат вложений, что может ввести в заблуждение многих владельцев ПК. Для проникновения в систему новые варианты вируса эксплуатируют обнаруженную еще в прошлом году уязвимость в браузере Internet Explorer. Для реализации атаки хакеру достаточно вынудить пользователя просмотреть составленное определенным образом послание в программе Microsoft Outlook. Понятно, что сделать это не так уж и сложно.
После активации вредоносного кода червь автоматически соединяется с одним из ранее инфицированных ПК, выбирая произвольный IP-адрес из заранее определенного списка. Далее на компьютер пользователя загружается основной компонент червя, который затем изменяет реестр, закрывает запущенные антивирусные процессы, добавляет свой код к найденным на дисках исполняемым файлам и выполняет ряд других действий. В ближайшее время антивирусные компании выпустят обновления баз данных для защиты от Bagle, кроме того, пользователям рекомендуется установить заплатку от Microsoft.
