WORM_BAGLE.U, Uwaga: znane są także inne wersje tego wirusa, na przykład: Bagle.A, Bagle.B, Bagle,C, Bagle.D, Bagle.E, Bagle.F, Worm/Bagle.E.GODO, Win32:Beagle-C [Unp], W32/Bagle.gen@MM, I-Worm.Bagle.e, W32/Bagle.E, W32/Bagle.E.worm

Po uruchomieniu robak umieszcza w katalogu Windows plik GIGABIT.EXE. Maskując swoją obecność uruchamia program MSHEARTS.EXE. Każdorazowo sprawdza datę, przestaje działać po 1 stycznia 2005.

Istotną cechą wirusa są jego zdolności szpiegowskie. Podłącza się do portu TCP 4751 i oczekuje na ewentualne instrukcje odległego operatora. Ściąga także skrypt umieszczony na serwerze: http://www.we<blocked>e.de/5.php. Tam także przesyła swój numer identyfikacyjny, generowany podczas instalacji w zainfekowanym systemie, wraz z numerem portu komunikacyjnego. Zdalny operator może wykonać następujace czynności:

• przesłać i uruchomić zmodyfikowaną wersję wirusa
• usunąć robaka z systemu

Wirus rozsyła się poprzez własny mechanizm SMTP korzystając ze znalezionych w wystemie adresów eamil. Przykładowy wygląd generowanej wiadomości:

Subject: <None>
Message Body: <None>
Attachment: <Random Name>.exe

Jak usunąć ?

Najprościej użyć oprogramowania Trend Micro , skanować zasoby systemowe a następnie  zatrzymać zlokalizowane w ten sposób uruchomione przez wirus procesy (w przypadku Windows 95/98/ME wcisnąć CTRL+ALT+DELETE, wybrać nazwę i zakończyć zadanie).
Ewentualnie można skorzystać z bezpłatnego narzędzia SYSCLEAN

Opracowano na podstawie materiałów Trend Micro
© 2004 Trend Micro Incorporated. All Rights Reserved

               

Copyright  Air Trend 1999-2004