W32/Bagle-AF bagle worm virus antivirus antispam sophos qubis

W32/Bagle-AF
(16. srpnja 2004.)

Sophos nas je obavijestio o pojačanoj aktivnosti crva/virusa W32/Bagle-AF za koji je primio više prijava otkrivanja. Qubis d.o.o. do sada nije primio nijednu dojavu otkrivanja ovog crva u Hrvatskoj. Crva W32/Bagle-AF prepoznavat će Sophos Anti-Virus za rujan 2004. (v.3.85).

Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv / Virus

Način širenja

Za širenje koristi elektroničku poštu, a poruke šalje koristeći vlastiti SMTP mehanizam.

Aktivnosti / Simptomi / Posljedice

Elektronička poruka

Poruka je u HTML-obliku, a može sadržavati sljedeći tekst:

Pošiljatelj (From:)

(slučajno odabrana e-adresa)

Primatelj (To:)

(slučajno odabrana e-adresa)

Subjekt (Subject:)

Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

Poruka (Message:)

Read the attach.
Your file is attached.
More info is in attach.
See attach.
Please, have a look at the attached file.
Your document is attached.
Please, read the document.
Attach tells everything.
Attached file tells everything.
Check attached file for details.
Check attached file.
Pay attention at the attach.
See the attached file for details.
Message is in attach
Here is the file.

When the worm attaches itself as an encrypted file the password is included in the email as an bitmap image and the message text is one of the following:

For security reasons attached file is password protected.
The password is (zaporka - BMP)

For security purposes the attached file is password protected.
Password -- (zaporka - BMP)

Attached file is protected with the password for security reasons.
Password is (zaporka - BMP)

In order to read the attach you have to use the following
password: (zaporka - BMP)

Note: Use password (zaporka - BMP) to open archive

Archive password: (zaporka - BMP)

Password - (zaporka - BMP)

Password: (zaporka - BMP)

Privitak (Attachment:)

Naziv datoteke:

Information
Details
text_document
Updates
Readme
Document
Info
Details
Message

Nastavak:

ZIP
CPL
EXE
COM
SCR

Adrese na koje će poslati svoju kopiju pronalazi u datotekama s nastavkom WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM i JSP.

Uklanjanje

Sprečavanje infekcije

Programi iz ponude Sophosa mogu zaustaviti ovog crva na nekoliko mjesta:

na poslužiteljima elektroničke pošte u načinu "Full"
na klijentima pri otvaranju HTML poruke
na klijentima pri zapisivanju daototeke u privremeni direktorij
na klijentima pri pokretanju daototeke iz privremenog direktorija

Automatsko uklanjanje

Sophos će ukloniti inficiranu datoteku i staviti ju u karantenu u trenutku zapisivanja ako je na InterCheck klijentu uključena mogućnost Check = 'On write' i 'On rename', a Action = 'Move'. Ako je Sophos postavljen tvornički, spriječiti će aktiviranje pri pokretanju izvršne datoteke ali ga neće ukloniti.

Ručno uklanjanje

Windows 9X klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo

Windows NT-klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo

Zaštita od infekcije

zaštita na poslužiteljima elektroničke pošte
zabrana slanja / primanja izvršnih datoteka (.exe, .com, .bat, .cmd, .scr, ...) preko vatrozidova
zabrana prometa na svim Internetskim kanalima osim onih koji su predviđeni poslovnom politikom
poduka krajnjih korisnika o sigurnom korištenju usluga s Interneta
namještanje programa za čitanje elektroničkih poruka tako da ih prikazuju samo u tekstualnom obliku
primjena sigurnosnih zakrpa

Ostalo

Sophos - Podaci o crvu W32/Bagle-AF

Sažetak svojstava

Širenje
Elektroničkom poštom (početna poruka)	R
Lažna adresa u polju 'From:'	R
Dijeljene mrežne mape	?
'Peer-2-peer' mreže	?
Ostalo	?
Aktivnost
Zaustavlja Sophosove servise	?
Mijenja registry	R
Kreira / mijenja datoteke	R
Inficira datoteke	Q
Omogućava backdoor pristup	Q
Otvara port	Q
Bilježi aktivnosti tipkovnice (KeyLogging)	Q
Automatski se obnavlja	?
Uklanjanje
Sophosovim alatom za uklanjanje crva	Q
Uklanjanjem (DOS ili Safe mode + cmd prompt)	R
Promjenom registry-ja	R
Čišćenjem datoteka	R
Uklanjanjem datoteka	R
Zaštita
Primjenom servisnog paketa / sigurnosne zakrpe za OS ili napadnutu aplikaciju	?
Filtriranjem sadržaja na proxy poslužitelju	Q
Filtriranjem sadržaja na poslužitelju elektroničke pošte	R
Aktiviranjem vatrozida	R
Podukom korisnika o sigurnom korištenju Interneta	R