In arrivo nuove varianti di Bagle e Sober

Kaspersky Lab ha segnalato una nuova versione del worm Bagle, denominato Worm.Win32.Bagle.bn. Come i precedenti arriva tramite un' email, la quale non ha alcun oggetto o messaggio, con allegato un file ZIP di 19Kb che contiene un file EXE denominato 19_04_2005.exe.

Una volta che l' utente lancia inavvertitamente il file, il worm crea un file di testo nella cartella di file temporanei di Windows con un nome che comincia con una tilde (~) seguito da caratteri generati a caso con estensione .txt. Bagle.bn usa poi il text editor di default, solitamente notepad, nella macchina infetta, per aprire il file e fa apparire la scritta "sorry". Estrae poi il file winshost.exe nella cartella system di Windows ed aggiunge delle chiavi nel registro per assicurarsi l' avvio al primo rebot del pc.

Blocca inoltre gli accessi ai siti di sicurezza, ma non è in grado di replicarsi, cosa che comunque non significa che l' autore non usi tecnologie di spamming per inviare ulteriori copie del worm. L' autore di Bagle dall' inizio dell' anno rilascia ogni pochi giorni una nuova versione, cosa che induce gli esperti di sicurezza a pensare che questo serva a mantenere attive le macchine gia infette dalle altre varianti di Bagle.

continua news tratta da alground.com