BAGLE

1. BAGLE Uma das maiores ameaças via e-mail do mundo Felipe e Camila 211

2. Roteiro • Sintomas de infecção • Infecções pelo mundo • Países mais infectados • Modo de execução • Descrição e forma de disseminação • Sistemas operacionais afetados • Remoção

3. Introdução Este trabalho visa obter informações do virus Bagle ou Beagle que vem infectando computadores por todo o mundo.

4. Sintomas de infecção Este vírus quando presente no sistema do computador desabilita os sistemas de proteção do usuário, tais como o anti-vírus e antispy, impedindo a instalação dos mesmos, tal como impede que a máquina seja reiniciada no Modo Seguropois exclui a pasta Safeboot do registro do Windows.

5. Infecções pelo mundo A Trend Micro, líder no mercado de antivírus corporativo e segurança de conteúdo, inicia o mês com alerta amarelo (médio risco) para uma nova variante do vírus que mais incomoda usuários de computadores de todo o mundo: o Bagle. Desta vez é a versão AI que está se espalhando por diversos países, como o Brasil, que já é a 2ª região mais atingida pelo vírus, ficando atrás apenas dos Estados Unidos.

6. Dez países mais atacados pelo Bagle • Estados Unidos • Brasil • França • Japão • China • Taiwan • Canadá • Itália • México • Reino Unido

7. Modo de execução O Bagle.AI chega via e-mail com um arquivo ZIP anexo e, assim como a variante AC, age de maneira específica para se propagar: ao invés de enviar uma cópia de si próprio para os endereços de e-mail,  este worm usa uma ferramenta para download de Trojans e um script HTML. O componente HTML_Bagle.AI permite a execução do Trojanque faz o download de arquivo no formato JPG que ele copia de alguns web sites. Os arquivos são executados e salvo com o nome de  _re_file.exe na pasta do Windows. O Bagle se espalha por meio de spam e vem com o mesmo objetivo das anteriores. A praga tenta desabilitar os programas de antivírus e firewall, bem como bloquear acesso aos sites de segurança para controlar remotamente os PCs.

8. Descrição e forma de disseminação Se propaga por e-mail. Quando executado pela primeira vez, mostra uma mensagem falsa de erro com o texto: "Can't find a viewer associated with the file". O programa então se copia na pasta C:\Windows\System com o nome drvddll.exe e passa a ser executado a partir dessa localização. O e-mail infectado com esse verme traz no campo Assunto expressões como "Re: Msg reply", "Re: Hello" ou "Re: Thank you!", entre outras. O anexo enviado pode ter as extensões .exe, .scr, .com, .zip, .vbs, .hta ou .cpl. Ele altera o Registro do Windows para que possa ser rodado no logon do sistema.

9. Sistemas operacionais afetados Windows 95/98/Me/NT/2000/XP/2003.

10. Remoção • Pelo Windows Explorer, vá até à pasta Windows (comumente em C:\Windows ou no C:\Winnt) • Na lista de arquivos que aparece, clique com o botão direito do mouse sobre Regedit.exe e faça uma cópia desse arquivo; • Renomeie o Regedit.exe para Regedit.com • Abra o editor de registro: no menu Iniciar, clique em Executar e digite regedit.com e pressione o botão Procurar. O editor registry abre (em máquinas com Windows NT/2000/XP/2003, será preciso editar uma linha do registro. A remoção é opcional nos Windows 95/98/Me) Atenção: Só prossiga com a edição do registro se você for um usuário avançado • Localize a linha HKEY_LOCAL_MACHINE: HKLM\Software\ Microsoft\Windows\CurrentVersion\Run\ • Se ela existir, delete-a • Feche o editor do Registro e reinicie o computador

11. Segundo a McAfee (AHHH EU USO NO MEU PC \o/), foi detectado que ele é possível de criar cópias de si mesmo dentro da máquina para que o efeito seja de mais rápido desempenho.

12. Conclusão Com esse trabalho podemos concluir que com a infinidade de vírus existentes se faz necessário o uso de um bom antivírus e todas as medidas de precaução possiveis