Panda Software предупреждава за разпространението на нов червей Bagle.AV Bagle.AV е червей, който прекратява процеси, отговарящи за update на някои антивирусни програми. Bagle.AV се разпространява чрез e-mail, в съобщение с прикрепен файл със случайно име и .ZIP разширение. Този файл съдържа HTML файл, заедно със скрит .EXE файл. Инсталационният файл се стартира когато потребителят отвори HTML файла. Веднъж след като е заразил компютъра, Bagle.AV започва опити да сваля фалшиви JPG файлове от няколко уебсайта. Ако този процес се окаже успешен, Bagle.AV започва да се разпространява от заразения компютър. Видими симптоми: Bagle.AV е лесен за разпознаване, тъй като се получава в компютъра като e-mail съобщение със следните характеристики: • Subject: foto • Message: foto • Attachments: FOTO.ZIP FOTO1.ZIP Съдържа HTML файл, и скрит EXE файл. Ефекти: Bagle.AV предприема следните действия: • Прекратява следните процеси, протичащи чрез ъпдейт на антивирусни програми, чрез други, ако те са активни в паметта: ATUPDATER.EXE, AUPDATE.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, FIREWALL.EXE, ATUPDATER.EXE, LUALL.EXE, DRWEBUPW.EXE, AUTODOWN.EXE, NUPGRADE.EXE, OUTPOST.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ESCANH95.EXE, AVXQUAR.EXE, ESCANHNT.EXE, UPGRADER.EXE, AVXQUAR.EXE, AVWUPD32.EXE, AVPUPD.EXE, CFIAUDIT.EXE, UPDATE.EXE, NUPGRADE.EXE, MCUPDATE.EXE. Правейки това, пречи на тези приложения да ъпгрейдват своята анти-вирусна защита против нови вируси. Стратегия на инфектиране: Bagle.AV следва следното разписание: • Стига до вътрешността на компютъра чрез файл със разширение ZIP, който съдържа HTML файл, и скрит EXE файл. Инсталационният файл се стартира когато потребителят отвори HTML файла. • Веднъж, след като зарази компютъра, започва да прави опити да сваля фалшиви JPG файлове от няколко уебсайта. • Този така наречен „JPG файл”, всъщност е EXE файл, който съдържа друг компонент от червея. EXE файлът, който е скрит във ZIP файл създава следните файлове в системната директория на Windows: • GDQFW.EXE. Този файл е копие на свалящия и големината му е 9,728 байта. DORIOT.EXE. Този файл е копие на Bagle.AV. Не е възможно анализирането на сваления от уебсайтовете файл, тъй като нито един от тях не е достъпен. Сваленият файл се запазва _RE_FILE.EXE в системната директория на Windows. EXE файлът скрит във ZIP файла се вписва в регистрите на Windows така: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run wersds.exe = %sysdir% doriot.exe HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run wersds.exe = %sysdir% doriot.exe където %sysdir% е системната директория на Windows. Създавайки това свое вписване Bagle.AV си осигурява започване, независимо кога се стартира Windows. Как да разберете дали компютъра Ви е инфектиран от Bagle.AV: Проверете дали сте получили e-mail, притежаващ характеристиките, описани по-горе. За да бъдете абсолютно сигурни обаче, сканирайте компютъра си. Уверете се дали анти-вирусната Ви програма има необходимия update.