PDA

Visualizza versione completa : W32.Bagle.E - Allerta 5 - Update


Giorgius
29-02-2004, 13.25.48
Questa variante del Worm informatico "Bagle.A" attacca la rete il giorno 25/03/04.

Screenshot:

http://www.symantec.com/avcenter/graphics/w32.beagle.e@mm.1.gif

Aliases: Win32/Bagle.E (Enciclopedia Virus (Ontinent)), W32/Bagle.e@MM (McAfee), W32.Beagle.E@mm (Symantec), W32/Bagle-E (Sophos), WORM_BAGLE.E (Trend Micro), I-Worm.Bagle.e (Kaspersky (viruslist.com))

Effetti:
W32.Beagle.E@mm is a mass-mailing worm that opens a backdoor on TCP port 2745. The worm uses its own SMTP engine for email propagation. It can also send to the attacker the port on which the backdoor listens, as well as a randomized ID number.

Info:
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3648&PHPSESSID=24c4e5326599fcf8bcc9db7b2b2ffeb8
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101061
http://www.symantec.com/avcenter/venc/data/w32.beagle.e@mm.html
http://www.enciclopediavirus.com/virus/vervirus.php?id=746
http://www.norman.com/virus_info/w32_bagle_e_mm.shtml


Aggiornamento AntiVirus al 29/02/04 ;)(Y)

Giorgius
29-02-2004, 13.33.16
Stinger: http://download.nai.com/products/mcafee-avert/stinger.exe
nOD32: http://www.nod32.it/cgi-bin/mapdl.pl?tool=BagleE

Giorgius
01-03-2004, 21.50.19
(ASCA) - Roma, 1 mar - Mcafee Avert (Anti-Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha assegnato una valutazione di rischio media ai worm W32BAGLE.c@MM e W32BAGLE.e@MM. Bagle.c e' un worm che usa un proprio motore Smtp per costruire messaggi in uscita e contiene un componente per l'accesso remoto. Il worm e' stato identificato per la prima volta nella mattinata del 27 febbraio scorso da Mcafee Avert, che in serata aveva ricevuto 80 esempi del worm da clienti di tutto il mondo. Il worm Bagle.e, che ha le stesse caratteristiche di Bagle.c, e' stato individuato ieri e, al momento, i laboratori Mcafee Avert hanno ricevuto oltre 100 esempi del virus dagli utenti Mcafee Security. Inoltre Mcafee Avert ha rilevato una crescente diffusione dei worm W32/Bagle.f@MM e W32/Bagle.g@MM, cui attualmente e' assegnato un livello di pericolosita' basso. Altre varianti del ceppo Bagle continuano a diffondersi tramite Internet, e Mcafee Avert consiglia ai propri utenti di aggiornare i sistemi con i Dat 4330 per assicurarsi la protezione contro le attuali minacce Bagle. Bagle.c e la variante Bagle.e sono worm Internet mass mailer che raccolgono gli indirizzi da file locali e li usano per inserirli sia nel campo From che nel campo To dei messaggi e-mail e quindi si auto inviano attraverso il proprio motore Smtp. In questo modo il ricevente non e' in grado di visualizzare il reale mittente. I worm quindi usano la componente di accesso remoto del virus, che ''ascolta'' la porta Tcp 2745 alla ricerca di collegamenti remoti. Gli utenti devono immediatamente cancella qualsiasi e-mail che contenga quanto segue: From_: (l'indirizzo e' falsificato) Corpo del messaggio: (Il corpo del messaggio e' vuoto) Soggetto: Price, Hello my friend, New Price-list, Hi!, Hardware devices price-list, Well..., Weekly activity report, Greet the day, Daily activity report, The account, Maria, Looking for the report, Jenny, You really love me? he he, Jessica, You are dismissed, Registration confirmation, Accounts department, Usa government abolishes the capital punishment, From me, Freedom for everyone, Monthly incomings summary, Flayers among us, The summary, From Hair-cutter, Proclivity to servitude, Melissa, Ahtung!, Camila, The employee, Price-list. Una volta eseguiti, Bagle.c e Bagle.e si auto inviano agli indirizzi che trovano sul Pc infettato usando un nome di file con estensione .WAB, .TXT, .HTM, .HTML, .DBX, .MDX, .EML, .NCH, .MMF, .ODS, .CFG, .ASP, .PHP, .PL, .ADB e.SHT. I nomi di file elencati identificano le tipologie di file da cui Bagle.c raccoglie gli indirizzi e-mail. Il nome di file viene quindi inviato come (Nome a caso).zip. Inoltre, il virus evita di inviarsi a indirizzi che contengono le estensioni @hotmail.com, @msn.com, @microsoft, @avp, noreply, local,root@ e postmaster@. Il worm Bagle.c si disattiva completamente al primo riavvio del Pc dopo il 14 marzo 2004 mentre la variante Bagle.e' inattiva a partire dal 25 marzo 2004. Informazioni aggiornate e le cure per questi worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo http://vil.nai.com/vil/content/v_101059.htm (per Bagle.c) e http://vil.nai.com/vil/content/v_101061.htm (per Bagle.e). Gli utenti di soluzioni Mcafee Security devono aggiornare i loro sistemi e usare il motore di scansione 4.2.40 per bloccare danni potenziali.