PDA

Visualizza versione completa : W32.Bagle.W - Allerta 4 - Update


Giorgius
27-04-2004, 12.35.10
http://www.alerta-antivirus.es/imagenes/virus/bagle.w.png

Aliases:
W32.Beagle.W@mm (Symantec), VBS_BAGLE.X (Trend Micro), W32/Bagle.AA.worm (Panda Software), W32/Bagle.z@MM (McAfee), Win32.Bagle.W (Computer Associates), W32/Bagle-W (Sophos), I-Worm.Bagle.y (Kaspersky (viruslist.com)), Bagle.Y (F-Secure)

Effetti:
W32.Beagle.W@mm is a mass-mailing worm that attempts to spread using mail and file-sharing networks. The worm also opens a backdoor on an infected computer.
The threat may be packed using UPX, and it appends random data to the end of itself, so it does not have a static MD5 value.
When the worm runs, it displays a message box with the following text:
Can't find a viewer associated with the file.

Info:
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.w@mm.html
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.X
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3833&PHPSESSID=5116fd3b9353e396f8b32221e076127f
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=46632&sind=0


Aggiornamento AntiVirus al 27/04/04 ;)(Y)

Giorgius
27-04-2004, 15.23.55
(ASCA) - Roma, 27 apr - Mcafee Avert (Anti Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha elevato la valutazione di rischio a media per il virus W32/Bagle.Z@MM, conosciuto anche come Bagle.z. Attualmente Mcafee Avert ha ricevuto oltre cento segnalazioni del virus. Gli esempi rilevati arrivano da utenti infetti principalmente in Europa. Questa nuova versione di Bagle e' simile ad altre rilevate durante gli ultimi tre mesi. Il worm Bagle.z e' una minaccia mass mailing che raccoglie gli indirizzi dai file locali e li utilizza inserendoli nel campo ''From'' per autoinviarsi. Una volta attivato, il worm si duplica nelle cartelle di sistema che contengono la frase ''shar'' nel nome, come le comuni applicazioni peer to peer, e aggiunge una chiave che si attiva all'avvio del sistema. Il worm quindi passa alla componente di accesso remoto del virus, che ricerca connessioni remote sulla porta Tcp 2535. Gli utenti devono essere molto cauti e dovrebbero immediatamente cancellare qualsiasi messaggio contenente quanto segue: From: indirizzo contraffatto che puo' contenere le parti lizie@, annie@, ann@, christina@, secretGurl@, jessie@, christy@; Subject: Hello!, Hey!, Let's socialize, my friend!, Let's talk, my friend!, I'm bored with this life, Notify from a known person ;-), I like you, I just need a friend, I'm a sad girl..., Re: Msg reply, Re: Hello, Re: Yahoo!, Re: Thank you!, Re: Thanks :), RE: Text message, Re: Document, Incoming message, Re: Incoming Message, Re: Incoming Fax, Hidden message, Fax Message Received, Protected message, RE: Protected message, Forum notify, Request response, Site changes, Re: Hi, Encrypted document. Testo del messaggio: utilizza differenti frasi a caso. Dopo essere stato eseguito, Bagle.z si invia tramite e-mail agli indirizzi presenti sull'host infetto come file protetto da password. Il virus ricerca, su una porta Tcp 2535, collegamenti remoti e cerca di avvisare l'autore che il sistema infetto e' pronto per accettare comandi, contattando diversi siti web e interpellando uno script Php su siti remoti. Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo http://vil.nai.com/vil/content/v_122415.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4353 per proteggersi contro tutte le attuali minacce Bagle.

Giorgius
27-04-2004, 15.25.17
Stinger 2.2.2: http://download.nai.com/products/mcafee-avert/stinger.exe
Ikarus: http://download.ikarus.at/remover/IkarusRem_Bagle.exe
Symantec: http://securityresponse.symantec.com/avcenter/FxBeagle.exe

cippico
28-04-2004, 09.42.09
per i tempestivi link ai remover aggiornati...

complimenti x il sito...ottimo link al traduttore ita-giap...

ciaooo

Giorgius
28-04-2004, 17.09.54
Non un Sito, un Blog (Diario della giornata in rete) ;)

cippico
29-04-2004, 08.47.30
Originariamente inviato da Giorgius
Non un Sito, un Blog (Diario della giornata in rete) ;)

la brutta abitudine di chiamare sito ogni pagina che si guarda...

ciaooo

Giorgius
29-04-2004, 21.37.13
MILANO (Reuters) - Un nuovo virus definito dagli esperti "Bagle-Z" variante del noto "Bagle", ma a medio rischio, minaccia di mettere fuori uso i Pc degli utenti di tutto il mondo camuffandosi come un documento protetto da password o come un avviso di risposta.


Lo ha riferito oggi un comunicato di Trend Micro azienda produttrice di programmi anti-virus, aggiungendo che il nuovo baco gi stato segnalato in Europa e negli Stati Uniti.


"Bagle-Z" si propaga attraverso il sistema Smtp (Simple mail Transfer Protocol) e raggiunge i sistemi di posta elettronica raccogliendo indirizzi di nuove "vittime" e diffondendosi attraverso le condivisioni di Rete.


Il baco si presenta nella caselle di posta elettronica come una e-mail che ha nel soggetto frasi come "Protected message" oppure "RE: Msg reply".

Una volta aperta, appare un file .jpg che spesso richiede una password per visionare l'allegato in cui si nasconde il virus vero e proprio.

"Bagle-Z" si copia automaticamente all'interno di Windows in modo de essere eseguito a ogni ravvio.

Il baco colpisce le piattaforme Windows 95, 98, ME, NT, 2000 e XP.

Ieri Trend Micro ha parlato di allarme medio anche per la diffusione di una nuova variante di "Netsky" che si propaga nei Pc attraverso la posta elettronica e le condivisioni di Rete.