المؤتمر نت - البيان - يبدو ان دودة الباغل لن تهدأ فهي مستمرة في اصدار نسخ جديدة ومتعددة منها، فخلال الاسبوع الماضي ظهرت الباغل كيو BAGLE-Q وهي فيروس بريد الكتروني واسع الانتشار بشكل غير اخلاقي عبر رسالة تحمل الفيروس بدون أن تحتوي على مرفقات وبمجرد فتح الرسالة يدخل الفيروس للحاسب.


والرسالة تحمل الصفات التالية:


اسم الراسل يحمل كلمات فارغة ليست ذات معنى أما خانة موضوع الرسالة فهو كالآتي:


RE: MSG REPLY


RE: HELLO


RE: YAHOO


RE: THANK YOU


RE: THANKS:


RE: TEXT MESSAGE


RE: DOCMENT INCOMING MESSAGE


RE: INCOMAING MESAGE


RE: INCOMING FAX HIDDEN MESSAGE


RECEIVED PROTECTED MESSAGE


ولا يوجد نص للرسالة.


عناوين البريد الالكتروني جميعها يتم حصدها من القرص الصلب الخاص بالاجهزة المصابة وذلك بالبحث عن ملفات تحتوي على هذه الاشتقاقات:


SHTM,HTM,MSG,TEXT,WAB,STM,


XML,DBX,MBX,MDX,EML,NCH


,MMF,0DS,CFG,ASP,PHP,WSH,


ADB,TBB,SHT,6XLS,OFT


والباغل ليتو تتجنب العناوين التي تحتوي على الآتي:


@AVP NOREBLY LOCAL ROOT@POSTMASTER


@@HOTMAIL@MSN@MICROSOFTRATING@ F-


SECUR ANYONE@BUGS@ CONTRACT@


FEST GOLD-CERTS @HELP@INFO NOBODY


@NONE@KASP ADMIN ICROSOFT SUPPORT


NTIVI UNIX LINUX LISTSERV CERTIFIC SOPHO


@ FOO @IANA FREE-AV@MESSAGELABWNZIP


GOOGLE WINRAR SAMPLIES ABUSE PANDA CAFEE SPAM


عندما نفتح الرسالة الحاملة للفيروس تحاول استغلال المناطق الضعيفة في الاوت لوك وهذا يؤدي الى تحميل الفيروس اوتوماتيكيا من عنوان الـ IP الخاص بالكمبيوتر المصاب ثم تنتقل الى الخادم الخاص به ومنه الى حواسب أخرى.وتوفر مايكروسوفوت داخل MAICROSOFT SECURITY BULLETIN MSO3-040 أدوات لتقوية مناطق الضعف بالأوت لوك.


هناك نسخة أخرى من الباغل وهي BAGLE-R وهي تضم داخلها نسختين متطورتين هما BAGLE -S وBAGLE-T وهي ايضا فيروسات بريد الكتروني ولا تحمل الرسالة الحاملة للفيروس مرفقات وتصل في الشكل التالي:


اسم المرسل يحتوي على كلمات فارغة بينما يختار عنوانا للموضوع بشكل عشوائي من التالي:


RE: MSG REPLY


RE: HELLO


RE: YAHOO


RE: THANK YOU


RE: THANKS:


RE: TEXT MESSAGE


RE: DOCMENT INCOMING MESAGE


ولا يوجد ايضا نص للرسالة مرئي وهو يحصد العناوين من القرص الصلب للرسائل المصابة ايضا ويبحث عن ملفات تحتوي على مشتقات مشابهة للنسخة السابقة BAGLE-Q ويتجنب ايضا العناوين التي تحتوي على ماسبق وعرضناه.


نسخة اخرى من الباغل وهي BAGLE-HTML وهي يتم ارسالها عن طريق BAGLE-Q وBAGLE-R وهي تتجنب علاجات المايكروسوفت بارسال نفسها عن طريق حاسبات وسيطة.


ويعود ايضا للساحة فيروس الاغوبوت في نسختين هما AGOBOT-FG وAGOBOT-ED وهي دودة شبكية تسمح با لدخول لغير المخول لهم الى الحاسب عبر قنوات الـ IRC ويحاول ان تنسخ نفسها على الشبكات المشتركة مستخدمة كلمات سر ضعيفة وتحاول ان تنشر داخل الحاسبات مستخدمة الـ DOCOMRPC والـ RBC الذين يبحثون عن مناطق الضعف بالنوافذ وهي التي تسمح للدودة ان تستغل شفرتها على الحواسب المستهدفة مستخدمة مستوى مميزات النظام للحصول على معلومات اضافية عن اماكن الضعف هذه في النوافذ يمكن الذهاب الى MAICROSOFT SECURITY BULLETIN MS03-03G


والاغوبوت تنسخ نفسها على مجلد نظام النوافذ باسم EXPLORED.EXERT وتكون اسماء دخول في الاماكن التالية لتشغل نفسها تلقائيا عند البداية:


HKLM/SOFTWARE/MICROSOFT/


WINDOSWS/CURRENT


VERSION/RUNHKLM/SOF


TWARE/MICROSOFT/WINDOWS/


CURRENT VERSION/RUN SERVICES


لم تتقاعس التروجانات عن تجديد نفسهاواثبات وجودها على الساحة فقد اصدر البيرو نسخة جديدة هي BDOOR-CCK وهو تروجان ابواب خلفية وهذا البرنامج يمكن ان يسقط الملف داخل مجلد النوافذ للمساعدة ويسقط ايضا ملف TROJAN داخل مجلد النوافذ.


التروجان سيقوم ايضا بتكوين تسجيلات الدخول التالية ليشغل نفسه في كل مرة تبدأ فيها الحاسب:


HKLM/SOFTWARE/MICROSOFT/


WINDOSWS/CURRENT VERSION/RUN


BLSS=


HKLM/SOFTWARE/BLSS/


INSTALLDATE=


«باد بارتي» تروجان جديد هي BADPARTY


وهو يظهر صندوق رسالة تحتوي النص التالي:


PREMOK TO INSTALE THE PARTY INNITATION


وعندما يضغط المستخدم OK يلغي قسم الجداول في قطاع MASTER BOOT ومحتويات الـ FAT ثم يبدأ في تكوين قسم جديد بالجداول.


وهذا التروجان يكون الملفات التالية والتي تعد نسخا من الاستخدامات الشرعية:


INT86-16.DLL,INT86-32.DLL,PLAYME.EXE,PARTY.INI


في مجلد النوافذ.