Bagle.AI - robak z 'foto' w tytule

Producenci oprogramowania antywirusowego ostrzegają internautów przed nową wersją robaka pocztowego Bagle - oznaczoną symbolem AI. "Insekt" pojawił się w Sieci wczoraj - od tego czasu gwałtownie rozsyła się za pośrednictwem poczty elektronicznej (Bagle.AI ukrywa się w załączniku do wiadomości zatytułowanej 'foto').

Plik załączony do takiej wiadomości to archiwum .zip, które z reguły również nazwane jest foto. W polu 'Nadawca' umieszczony jest przypadkowy adres e-mail. Robak infekuje systemy z rodziny Windows.

Załączone do wiadomości archiwum zawiera dwa pliki - foto.html i foto1.exe. Uruchomienie któregokolwiek z nich spowoduje uaktywnienie się robaka (plik html zawiera JavaScript, który uruchamia plik foto1.exe). Pierwszym podejmowanym przez Bagle.AI działaniem jest skopiowanie się do folderu systemowego (System lub System32) - robak zapisuje się w nim jako DORIOT.EXE. Później "insekt" dodaje do Rejestru wpis, dzięki któremu plik ten będzie uruchamiany przy każdym starcie systemu Windows. Kolejną akcją podejmowaną przez robaka jest skanowanie dysku w poszukiwaniu adresów e-mail i masowe wysyłanie na nie swoich kopii.

Nowy Bagle tworzy także na dysku dodatkowy plik - gdqfw.exe, którego zadaniem jest wyłączanie zainstalowanego na zainfekowanej maszynie oprogramowania antywirusowego i firewalla. Gdqfw.exe próbuje również połączyć się z jedną ze 130 predefinowanych stron WWW i pobrać z niej dodatkowe komponenty robaka - na szczęście na razie większość z tych stron nie działa, co uniemożliwia robakowi uaktualnienie się i rozpoczęcie szerzej zakrojonej akcji dystrybucyjnej. W tej chwili Bagle.AI rozprzestrzenia się tylko za pośrednictwem poczty elektronicznej (autor niniejszej wiadomości w ciągu ostatnich 12 godzin otrzymał blisko 80 wiadomości 'zarażonych' przez Bagle.AI).

Skutecznym sposobem zabezpieczenia się przed robakiem jest uaktualnienie programu antywirusowego i, przede wszystkim, daleko posunięta ostrożność podczas postępowania z załącznikami do wiadomości e-mail odpowiadających podanemu powyżej opisowi (optymalnym rozwiązaniem jest kasowanie takich e-maili).