וירוס חדש: Beagle.AO

חברות האנטי מזהירות מפני וירוס שמתפשט בשעות האחרונות, גירסה חדשה ל-Bagle (או Beagle), המפיץ עצמו בדואר האלקטרוני וברשתות שיתוף הקבצים
רוני שני פורסם: 10.08.04, 10:10


חברות האנטי וירוס מזהירות מפני גירסה חדשה של וירוס Beagle, שגירסתו החדשה הופצה ברשת לפני כשבעה חודשים. התולעת החדשה, המכונה Beagle.AO (על ידי סימנטק), Beagle.AQ (על ידי מקאפי) או Bagle.AM (על ידי פנדה), מופצת בדואר האלקטרוני, ומפיצה עצמה באמצעות כתובות הדואר האלקטרוני של המשתמש ומנוע SMTP מובנה.

הודעת הדואר הנגועה כוללת קובץ ZIP, שבו דחוסים קובץ EXE נסתר וקובץ HTML בעלי אותו שם, שהרצתם תבצע את ההדבקה בפועל. כמו כן מנסה הווירוס
פרסומת



להוריד מהאינטרנט קובץ תמונה מזויף, המתחזה להיות קובץ בפורמט JPG, אולם, מדובר בקובץ EXE נוסף, המכיל את שאר הקוד של התולעת. במידה ומריצים את הקובץ – מתחיל תהליך ההפצה של הווירוס.

שדה ה-From של ההודעה כולל שם מזויף, שדה ה-Subject ריק, ובגוף ההודעה מופיעות המילים New Price. שם קובץ ה-ZIP המצורף עשוי להיות 08_price.zip, new__price.zip, price.zip, price2.zip וכדומה. בחלק מהמקרים תכלול ההודעה גם את המילים The password is או Password:.

הווירוס שותל עצמו בספריית ה-System, תחת השם WINdirect.exe, מוסיף שורה לקובץ הרישום, שתאפשר הרצה אוטומטית שלו בעת שהמחשב מופעל, ומריץ קובץ בשם windll.exe, שמנסה להפסיק כמה משירותי מערכת ההפעלה (Process), בהם אלה האחראים על תוכנת האנטי וירוס, על עדכון אוטומטי של Windows, על אבטחת הפיירוול ועוד. נוסף על כך, הווירוס מאפשר להאקר להשתלט מרחוק על המחשב, על מנת להשתמש בו לצורך משלוח דואר אלקטרוני ללא ידיעת המשתמש, באמצעות יציאות UDP ו-TCP 80.

כחלק מתהליך ההפצה הווירוס יוצר קבצים עם שמות מפתים, אותם הוא מציב בכל תיקיה שבשמה מופיעה המילה "shar", זאת, כדי להפיץ עצמו גם באמצעות רשתות שיתוף קבצים. הקבצים המזויפים עשויים להיקרא Microsoft Office 2003 Crack, Working!.exe, Windows Sourcecode update.doc.exe, Ahead Nero 7.exe, Adobe Photoshop 9 full.exe ועוד.

הווירוס אמנם אינו מזיק בצורה דרמטית למחשב המשתמש, על פי הדיווחים, אך עלול להאט מאוד את פעילותו ומהירות הפצתו ברשת היא גבוהה. בשעות האחרונות התפשט הווירוס בצורה נרחבת בעולם.

כיצד להתגונן?

סימנטק מגדירה את Beagle.AO כסיכון בינוני, וכך גם מקאפי, ואילו פנדה מדרגת את Bagle.AM כסיכון גבוה. שלוש החברות מציעות עבורו עדכונים והוראות הסרה.

יש לוודא כי תוכנת האנטי וירוס פועלת ולבצע סריקה של כל הקבצים במחשב. כמו כן, רצוי לעדכן את תוכנת האנטי וירוס בקובצי הווירוסים החדשים, אם העדכון לא מתבצע אוטומטית. כדאי לעדכן את תוכנת האנטי וירוס ולכבות את כל השירותים הבלתי נחוצים במערכת ההפעלה (למשל, שרת FTP, טלנט, שרת Web ועוד), במטרה לצמצם את סכנת החשיפה של המערכת בפני התקפות.

שירות הבדיקה המקוון של פנדה יסרוק את המחשב האישי בחיפוש אחר הווירוס וימחק אותו אם יימצא. כמו כן, ניתן להשתמש בשירותי בדיקה מקוונים נגד וירוסים מסימנטק , מקאפי או טרנד מיקרו .

באופן כללי רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט. ומומלץ לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם. כמו כן, מומלץ לבקר במדריך ynet בנושא הגנה מלאה מווירוסים.
הזכויות שמורות לויינט