Nowy Bagle z kodem źródłowym

Autor robaka Bagle masowo rozsyłającego się przez pocztę elektroniczną udostępnił w Internecie kod źródłowy i dwie nowe jego odmiany. Po raz pierwszy Bagle zaatakował w styczniu. Od czasu ukazania się pierwszego wariantu Bagle-A pojawiło się ponad 25 nowych odmian.

Mikko Hypponen dyrektor centrum badawczego F-Secure uważa, iż twórcą robaka jest profesjonalista. Jego opinia jest oparta o udostępniony kod źródłowy. Został on w całości napisany w assemblerze. Większość robaków rozsyłających poprzez e-mail została napisana w języku C lub C i częściowo przy użyciu assemblera. Hypponen uważa, że niewiele jest ludzi, którzy mogą w tak dobrym stopniu opanować assembler. Pomimo, iż niewielu użytkowników będzie mogło odpowiednio wykorzystać kod, tegoroczne wakacje mogą być bardzo pracowite dla administratorów systemów Windows.

Nowa wersje robaka oznaczone jako Bagle Y i Z rozpowszechniają się przy pomocy poczty elektronicznej oraz oprogramowania do wymiany plików w Internecie. Po uaktywnieniu załącznika przez nieświadomego użytkownika robak tworzy na dysku swoją kopię w plikach cplstub.exe, loader_name.exe, loader_name.exeopen, loader_name.exeopenopen oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak zawiera również trojana, który pozwala na przejęcie zdalnej kontroli nad zainfekowanym systemem nasłuchując na porcie 1234.

Dalsze rozpowszechnianie robaka odbywa się poprzez rozsyłanie własnej kopii do wszystkich użytkowników odnalezionych w plikach: wab, txt, msg, htm, shtm, stm, xml, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp, php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi, mht, dhtm, jsp.

Źródło informacji: CNET News