(ASCA) - Roma, 29 set - Mcafee Avert (Anti-virus and Vulnerability Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Bagle.az@MM, conosciuto anche come Bagle.az. Questa nuova variante e' un worm mass-mailing che si presenta sotto forma di allegato .Exe ''bawindo.exe''. In sole due ore Mcafee Avert ha ricevuto numerose segnalazioni del virus. La maggior parte degli esempi proviene da differenti paesi grazie alle capacita' di spoofing di questa variante. Bagle.az e' una minaccia mass mailing che contiene il proprio motore Smtp per creare i messaggi in uscita. Come per le varianti precedenti, questo worm raccoglie gli indirizzi dai file locali e quindi li utilizza nel campo From per auto-inviarsi, producendo un messaggio con un indirizzo del mittente falsificato. Il worm contiene un componente di accesso remoto e si duplica nelle cartelle che contengono il termine shar nel nome, come le comuni applicazioni peer to peer, tra cui Kazaa, Bearshare e Limewire. Gli utenti dovrebbero essere molto prudenti e cancellare immediatamente qualsiasi messaggio che include quanto segue: From: (l'indirizzo e' falsificato) Soggetto: - Re:, - Re: Hello, - Re: Thank you!, - Re: Thanks , - Re: Hi. Testo del messaggio: - o - ). Allegato: - Price, - price, - Joke. Una volta eseguito il file Exe, il virus si autoduplica nella directory di sistema Windows come BAWINDO.EXE. Per esempio: C:WINNTSYSTEM32bawindo.exe. Inoltre, il worm crea altri file in questa directory per eseguire le sue funzioni: C:WINDOWSSYSTEM32bawindo.exeopen, C:WINDOWSSYSTEM32bawindo.exeopenopen. Sono aggiunte le seguenti chiavi di registro per agganciarsi all'avvio del sistema: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun ''bawindo''=''C:WINDOWSSYSTEM32bawindo.exe''. Viene poi creato un mutex per accertarsi che stia funzionando una sola sessione del worm alla volta. Il worm apre la porta 81 (Tcp) e una porta Udp random sulla macchina della vittima. Informazioni aggiornate e le cure per Bagle.az sono disponibili sul sito Mcafee Avert all'indirizzo all'indirizzo: http://vil.nai.com/vil/content/v_128582.htm. Mcafee Avert suggerisce ai propri clienti di aggiornare i loro sistemi con i file Dat 4395 per essere protetti contro le attuali minacce Bagle.