Bagle-mato leviää vauhdilla
0
Suomalainen tietoturvatalo F-Secure luokittelee eilen löytyneen Bagle-madon B-version korkeimpaan uhkaluokkaan. Teknisesti uusi versio on yksinkertainen, mutta se leviää yhtiön mukaan räjähdysmäisesti luultavimmin viattoman näköisen viestinsä ansiosta, joka näyttää audiotiedostolta.
Toinen syy laajaan leviämiseen on se, että mato lähetettiin aluksi suurelle käyttäjäryhmälle roskapostiviestin tavoin.
Kyseessä on jo kolmas F-Securen 1-tason hälytys kuukauden sisällä. Aiempiin kahteen olivat syynä Bagle.A ja Mydoom.A.
Toisaalta sekä MessageLabs että Trend Micro ottavat rauhallisemmin. Näiden mukaan mato ei ole kovinkaan kummoinen uhka, sillä jokainen yhtiö, joka blokkaa suoritettavat tiedostot sähköpostista on turvassa.
Trend Micro luokittelee madon keskitason riskiksi. MessageLabs puolestaan pudotti madon korkean riskin luokasta keskitasolle. Sen leviämisvauhti ei nimittäin ole yltänyt pelättyyn MyDoomin tahtiin.
Takaportti auki
Bagle.B sisältää takaporttitoiminnon, joka tarkkailee TCP 8866 -porttia. Tämän takaportin kautta viruksenkirjoittaja voi muodostaa yhteyden saastuneeseen koneeseen ja ladata ja ajaa siinä mieleisiään ohjelmia.
"Tällä hetkellä on vaikea arvioida kuinka suurta tuhoa tämä mato tulee saamaan aikaan", sanoo Mikael Albrecht, F-Securen tuotepäällikkö.
"Takaportti voi osoittautua vaaralliseksikin, koska viruksenkirjoittaja voi sitä kautta halutessaan ujuttaa koneeseen haitallisia ohjelmia. Tällaista toimintoa voidaan käyttää esimerkiksi roskapostipalvelimien luomiseen saastuneille koneille", Albrecht jatkaa.
Viestien aiheet vaihtelevat
Bagle.B leviää sähköpostin välityksellä, mutta toisin kuin edeltäjänsä, näiden viestien aiheet ja liitetiedostojen nimet vaihtelevat.
Hämätäkseen käyttäjää, madon lähettämän viestin liite sisältää audiotiedostolta näyttävän kuvakkeen. Kun käyttäjä avaa tämän liitetiedoston, mato aktivoituu ja leviää. Tässä yhteydessä mato myös suorittaa Windows Sound Recorder -sovelluksen.
Mato kerää sähköpostiosoitteita aggressiivisesti saastuneen koneen tiedostoista. Se etsii läpi kaikki teksi- ja HTML-tiedostot sekä osoitekirjan, ja lähettää itsensä kaikkiin löytämiinsä osoitteisiin. Tästä poikkeuksena ovat kuitenkin osoitteet, joiden domain-pääte on Microsoft, MSN, Hotmail tai AVP.
Bagle.B on ohjelmoitu pysähtymään 25. helmikuuta.
Tarkempi tekninen kuvaus ja kuvia Bagle -madosta löytyy F-Securen virustietopankista.
Mato voi saastuttaa koneet, jotka käyttävät Windows 95 -, 98 -, ME -, NT -, 2000 - ja XP -käyttöjärjestelmiä.
