|
Tokom prošle noći vodila se teška bitka da se razume nova invazija daunloadera koji podsećaju na Bagle ali koji se ne repliciraju. Postoji nekoliko različitih vrsta ovih daunloadera i svaki od njih pokusava da sa nekoliko desetina sajtova povuče misteriozni program kako bi ga startovao.
Tada smo ukapirali šta se dešava: postoje najmanje dve nove varijante Bagle crva koji se takođe šetkaju po divljini. Jedna od stvari koje ove nove nemani rade je da koriste inficirane kompjutere kako bi sa njih slali spam sa fajlom "doc_01.exe" u attachmentu. (ovaj fajl kada se startuje dropuje winshost.exe i wiwshost.exe koji pokusavaju da "svuku" izvršni fajl z02.jpg).
Dakle, ne samo da šalju email sa virusom nego i veliki broj emailova sa daunloaderom koji se sam ne širi dalje.
Do sada smo primetili 4 različita daunloadera i 2 različita Bagle-a... a najverovatnije ima još 2 na koje još nismo naleteli (15:30).
Ima još. Ova nova varijanta Bagle-a koristi client / server arhitekturu da bi se dalje širio.
Molim? Klijent/server virus?
Normalni Bagle pretražuje lokalni hard drajv kako bi našao email adrese na koje će se poslati. Ove nove varijante, pak, se povezuju na web back-end. Back-end server uzvraća informaciju sa 50 jedinstvenih email adresa koji generiše koristeći directory harvesting tehnike. Tada virus šalja kopiju sebe na te adrese i vraća se na početak petlje.
Tipično, lista adresa koju server šalje u povratnoj informaciji izgleda ovako:
Ovaj back-end server je hostovan na hakovanoj stranici na adresi oceancareers.com. Mi smo im poslali jedan email sa odabranim re;ima i nadamo se da će prestati sa tim akcijama.
Inače ovu stvar detektujemo kao Email-Worm.Win32.Bagle.bb ali ćemo ga uskoro sigurno drugačije kategorizovati.
|
