Data pubblicazione: 28/04/2004
Descrizione: WORM_BAGLE.X al fine di avvisare gli utenti di quest’ultima variante del worm, che è stato segnalato in Francia, Regno Unito, America Latina e Stati Uniti. A differenza delle precedenti versioni che utilizzavano le vulnerabilità di Internet Explorer per attivarsi automaticamente, WORM_BAGLE.X utilizza alcune tecniche di “social engineering”, inserendo il nome del dominio dell’indirizzo del destinatario della mail per far sembrare di essere stata spedita da un collega. Il worm si camuffa da screensaver o da eseguibile e, una volta all’interno del sistema infetto, disabilita i programmi antivirus o di sicurezza.
WORM_BAGLE.X si presenta con nomi come “Annie”, “Christina”, “Jessie”, oppure “SecretGurl” utilizzando il nome del dominio del destinatario, e giunge con una fotografia in formato jpg di una ragazza all’interno del messaggio. Il messaggio usa una delle tante intestazioni nel soggetto, come per esempio “Let’s socialize, my friend!” oppure “I’m bored with this life”. Gli allegati recano estensioni di file come .COM, .EXE, .SCR, and .ZIP. Una volte eseguiti, i worm residenti in memoria collocano una copia di se stessi nella cartella di sistema di Windows come “Drvsys.exe”, e aggiungono se stessi nelle chiavi di registro di Windows per attivarsi automaticamente ad ogni riavvio. Il worm, di tipo polimorfo, si propaga via posta elettronica (mass mailing) e le condivisioni di rete.
Il worm colloca una copia di se stesso nelle cartelle condivise, fingendo di essere un programma scaricato illecitamente, come “Matrix 3 Revolution”, “Microsoft Office 2003 Crack”, or “Porno Screensaver”. Per evitare di essere scoperto il worm è progettato per terminare i processi associati agli antivirus oppure ai programmi di sicurezza.
WORM_BAGLE.X colpisce le piattaforme Windows 95, 98, ME, NT, 2000 e XP. Questo worm è conosciuto anche con i seguenti alias:: W32.Bagle.W@MM oppure W32/Bagle.z@MM.
Link utile: http://www.trendmicro.com