Ormene Bagle.au og Bagle.at

Indenfor det sidste døgn er der brudt et par nye orme løs. I går kom ormen bagle.at og allerede i dag er den næste orm kommet. Det er ormen bagle.au

Du bør skynde dig at gå ud og opdatere dit Antivirus program, også selvom du allerede har gjort det tidligere i dag.

Det er de første orm som er kommet efter SP2 og denne kan pakke kan ikke på nuværende tidspunkt, beskytte dig mod de nye orme.

Ormene bliver spredt via mail, så lad være med at klikke på vedhæftede filer, som du ikke selv har bedt om at få. De spreder sig også via fildelings programmer.

W32.Bagle-AT.worm ankommer via e-mail med følgende indhold:

Re Hi.msg*
Re Thank you!(2).msg*
Re Thank you!.msg*
Re Thanks.msg*
Re Hello(1).msg*
Re Hello.msg*
Re Hi(3).msg*
Re Hi(4).msg*
Re Hi(5).msg*

Et af følgende vil være vedhæftet denne mail:

PRICE.CPL
PRICE.EXE
PRICE.SCR
JOKE.CPL
JOKE.COM
JOKE.EXE

Den indeholder sin egen SMTP server, som den anvender til videresendelse af mails.

Hvis den vedhæftede fil åbnes, så vil den kopier sig til følgende mappe:  C:\Windows\System og med en af disse navne: WINGO.EXE, WINGO.EXEOPEN, samt WINGO.EXEOPENOPEN.


W32.Bagle-AU.worm er identisk med W32.Bagle-AT.worm. Der er dog foretaget nogle mindre justeringer. Det drejer sig om, at en proxy-server åbnes på en inficeret maskine. Det farlige lige nu er, at de forskellige Antivirus programmer endnu ikke kender denne, og må frigive nye virusdefinitioner. Der går sikkert højst få dage før alle virusproducenter har denne nye orm med.

Hvis du åbner denne nye variant, vil den kopiere sig selv til C:\Windows\System og med disse navne: bawindo.exe, bawindo.exe samt bawindo.exeopenopen

Den vil gå ind og ændre din registreringsdatabase når du lukker maskinen, således at ormen starter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"bawindo"=[%windows system mappen%]\bawindo.exe

Læs lidt mere om dem her