Novi virus sa client/server arhitekturom!!!

Tokom prošle noći vodila se teška bitka da se razume nova invazija daunloadera koji podsjećaju na Bagle ali koji se ne repliciraju. Postoji nekoliko različitih vrsta ovih daunloadera i svaki od njih pokusava da sa nekoliko desetina sajtova povuče misteriozni program kako bi ga startovao.

Tada smo ukapirali šta se dešava: postoje najmanje dvije nove varijante Bagle crva koji se takođe šetkaju po divljini. Jedna od stvari koje ove nove nemani rade je da koriste inficirane kompjutere kako bi sa njih slali spam sa fajlom "doc_01.exe" u attachmentu. (ovaj fajl kada se startuje dropuje winshost.exe i wiwshost.exe koji pokusavaju da "svuku" izvršni fajl z02.jpg).

Dakle, ne samo da šalju email sa virusom nego i veliki broj emailova sa daunloaderom koji se sam ne širi dalje.

Do sada smo primjetili 4 različita daunloadera i 2 različita Bagle-a... a najverovatnije ima još 2 na koje još nismo naleteli (15:30).

Ima još. Ova nova varijanta Bagle-a koristi client / server arhitekturu da bi se dalje širio.

Molim? Klijent/server virus?

Normalni Bagle pretražuje lokalni hard drajv kako bi našao email adrese na koje će se poslati. Ove nove varijante, pak, se povezuju na web back-end. Back-end server uzvraća informaciju sa 50 jedinstvenih email adresa koji generira koristeći directory harvesting tehnike. Tada virus šalja kopiju sebe na te adrese i vraća se na početak petlje.

Tipično, lista adresa koju server šalje u povratnoj informaciji izgleda ovako:

http://www.f-secure.com/weblog/archives/bagle_ad.gif

Ovaj back-end server je hostovan na hakovanoj stranici na adresi oceancareers.com. Mi smo im poslali jedan email sa odabranim recima i nadamo se da će prestati sa tim akcijama.

Inače ovu stvar detektujemo kao Email-Worm.Win32.Bagle.bb ali ćemo ga uskoro sigurno drugačije kategorizovati.

Preuzeo s jednog internet casopisa