互聯網蠕虫病毒Bagle的新變體在全球流行

   2004-02-28 corpease

　　尚易企業郵箱的反病毒合作伙伴卡巴斯基實驗室已經檢測到I-Worm.Bagle.b，它是惡名昭彰的互聯網蠕虫Bagle的新變體，目前全球已有几百個用戶發出被該病毒感染的消息。尚易企業郵箱提醒所有用戶都必須加強防范。

　　保守地估計，全球被感染的郵件可能超過20000，這個數字還在穩步上升。看來這種蠕虫遠不及惡貫滿盈的Mydoom.a傳播廣泛。但是，在Mydoom.a.出現之前，在2004年傳播最廣的病毒是Bagle.a，它是目前流行的蠕虫病毒的前身。

 　　I-Worm.Bagle的新變體在感染途徑上和一些方面與其前輩相似。可疑程序在染毒附件里通過email傳播，是一個可執行的視窗文件，大約11KB。這個染毒郵件的標題是'ID x:thanks'，內容寫著Yours ID x:Thank'，兩個x都伴隨著隨機的字符串。
侵入系統后，蠕虫將自身復制到Windows系統的地址目錄里面并做自動運行注冊。為了蒙蔽用戶，該蠕虫還侵入 Windows的標准應用模塊Sound Recorder (sndrec32.exe)。接著，Bagle.b將與一些遠程的、與木馬代理服務器（TrojanProxy.Win32.Mitglieder）有鏈接的網站建立鏈接。很快，所有在互連網上能下載Mitglieder的鏈接全被刪除。這表明I-Worm.Bagle.b不能用這種方法提高它的傳播速度。

　　然而，對電腦最危險的威脅是該病毒的Trojan組件，它打開染毒電腦的8866端口并監控端口的活動，使該電腦對病毒的作者開放，以執行其指令或下載文件。

　　像其前身一樣，I-Worm.Bagle.b使用了這類惡意代碼傳播的標准程序。它掃描染毒電腦中有wab, txt, htm, html、 r1后綴的文件系統，然后將自身植入上述文件中所有的email地址。Bagle.b通過自己的SMTP服務器發送郵件。這個特殊的惡意程序的活動是限時的，它將按照程序在2004年2月25日停止傳播。這或許是Bagle更新的變體產生、并在2月25日后開始傳播的信號。

　　尚易企業郵箱已可防范 I-Worm.Bagle.b病毒。有關該病毒的更詳盡的資料，請查詢《卡巴斯基病毒百科全書》網頁。(http://www.viruslist.com/eng/viruslist.html?id=942691)