Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2004 > CERT-FI varoitus 11/2004

CERT-FI varoitus 11/2004

17.2.2004

Bagle-haittaohjelman variantti leviää aktiivisesti

Bagle-haittaohjelman uusi variantti, Bagle.B (I-Worm.Bagle, W32.Beagle.B@mm, WORM_BAGLE.B, W32/Tanx.A), leviää aktiivisesti. Haittaohjelma havaittiin ensimmäisen kerran 17.2.2004 ja se on ohjelmoitu lopettamaan leviämisensä 25.2.2004. Bagle.B-haittaohjelma leviää sähköpostin liitetiedoston välityksellä. Haittaohjelman sisältämien sähköpostiviestien otsikkotieto ja liitetiedoston nimi vaihtelevat. Haittaohjelma väärentää myös sähköpostin lähettäjätiedot.

Bagle.B-haittaohjelman sisältämän sähköpostin otsikko noudattaa muotoa:

'ID [vaihtuvia merkkejä]... thanks'

Bagle.B-haittaohjelman sisältämän sähköpostin sisältö noudattaa muotoa:

Yours ID [vaihtuvia merkkejä]

--
Thank

Haittaohjelman sisältämä sähköpostiviesti sisältää audio-tiedostoa esittävän kuvakkeen. Kun liitetiedosto suoritetaan, haittaohjelma käynnistää Windows Sound Recorderin käynnistämällä Windows-sovelluksen sndrec32.exe.

Haittaohjelma sisältää myös takaporttiominaisuuden avaten saastuneeseen tietojärjestelmään TCP-portin 8866.

Bagle.B lähettää tiedon saastuneesta tietojärjestelmästä Internetissä sijaitseville palvelimelle, jotka ovat:

Saastuttaessaan kohdejärjestelmän haittaohjelma kopioi itsensä hakemistoon:

%sysdir%\au.exe

Haittaohjelma lisää rekisteriasetuksiin seuraavan arvon:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] "au.exe" = %sysdir%\au.exe

%sysdir% on Windows-käyttöjärjestelmän System-hakemisto.

Haittaohjelma käyttää myös seuraavia rekisteriavaimia:

[HKCU\SOFTWARE\Windows2000\gid]

[HKCU\SOFTWARE\Windows2000\frn]

Haittaohjelma etsii sähköpostiosoitteita saastuneen tietojärjestelmän seuraavista tiedostoista:

.html
.htm
.wab
.txt

VAROITUKSEN KOHDERYHMÄ:

  • Microsoft Windows- käyttöjärjestelmällä varustetut tietojärjestelmät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustunnistustietokannan ajantasaisuudesta

  • Älä avaa mitään epäilyttäviä sähköpostin liitetiedostoja

  • Älä avaa sähköpostin liitetiedostoja ilman virustarkastusta

  • Tuhoa välittömästi Bagle.B-haittaohjelman sisältämät sähköpostiviestit

  • Poista Bagle.B-haittaohjelma manuaalisesti saastuneesta tietojärjestelmästä CERT-FI-ohjeen 2/2004 mukaisesti: http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-02.htm

LISÄTIETOA:

http://www.f-secure.com/v-descs/bagle_b.shtml

http://www.nai.com/us/security/home.asp

http://www.sophos.com/virusinfo/analyses/w32tanxa.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.b@mm.html

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=44777

http://www.ficora.fi/suomi/tietoturva/ohjeet/ohje-2004-02.htm

VERSIOHISTORIA:

17.2.2004 Ensimmäinen versio julkaistu

18.2.2004 Toinen versio julkaistu: Lisätty tietoa haittaohjelman sisältämästä kuvakkeesta, rekisteriavaimista sekä
haittaohjelman manuaalisesta poistamisesta.

PÄIVITYSHISTORIA:

17.02.2004: Julkaistu
18.02.2004: Päivitetty
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio