29/10-04   -   Pressemeldinger

5000 Bagle-ormer stoppet siden kl.8

Virus112 har sett en kraftig spredning av en ny Bagle variant, bagle.at, siden klokken 8 i morges. Virus112 har stoppet over 5000 Bagle-ormer i våres Pre Virus Recognition filter. Mange antivirusprogrammer har enda ikke oppdatert sine signaturfiler og stopper derfor ikke ormene.

- Den hurtige spredning skyldes at mange antivirusprogrammer enda ikke kan stoppe ormen, sier Brian Petersen, direktør i Virus112 A/S. Virus112´s eget Mailscanningssystem stopper ormen på grunn av et spesielt Pre Virus Recognition filter.

Bagle.at sprer seg via e-post, Windows fildeling og P2P-fildelingsprogrammer. Bagle.at sprer seg via e-post med forfalskede avsenderadresser. Ormen finnes i en vedheftet fil med et av følgende navn Price, price eller Joke, som har filendelsen .com, .cpl, .exe eller .scr.

Ormen kopierer seg selv til alle mapper, som inneholder navnet ´shar´ under lokkende navn som Adobe Photoshop 9 full.exe og Microsoft Office XP working Crack, Keygen.exe. Den hurtige spredningen skyldes blant annet de lokkende navnene og utbredelsen av fildelingsprogrammer og hurtige bredbåndsforbindelser.

Ormen lager blant annet endringer i registreringsdatabasen, så den starter sammen med Windows. Bagle.at sletter dessuten en rekke nøkler opprettet av andre ormer.

Ormen inneholder også en bakdør, som lytter på TCP port 81, som kan utnyttes til å laste ned og eksekvere filer på det infiserte system.

W32.Bagle.at@mm forsøker dessuten å stoppe en lang rekke sikkerhetsprogrammer blant annet antivirus og firewall-programmer.

Om Virus112 A/S:

Virus112 A/S er et IT-sikkerhetsfirma, som er spesialisert i alarmering om nye virus og sikkerhetshuller. Virus112 A/S har siden starten i 2000 forsynt det danske og siden hele det skandinaviske bedriftsmarked med nyutviklede produkter innen for IT-sikkerhet. Våre kunder får konkret viten og eksakt informasjon til å sikre deres IT-sikkerhetssystemer.