Az AVERT, a Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a W32/Bagle.z@MM férget. A közlemény szerint az új, UPX csomagolású variáns, amely egy kicsit tér csak el a korábbiaktól, “közepes” veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt. Az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá.
A W32/Bagle.z@MM vírus is tartalmaz saját SMTP levelező motort, amellyel – hamis feladót feltüntetve – továbbküldi.
A vírus tartalmaz továbbá hátsó-ajtó komponenst is, amely megnyitja a 2535-ös TCP port-ot, és értesítést küld a készítőnek egy 5.php nevű kód lehívásával számos, többek közt német és orosz oldalról.
A vírus drvsys.exe néven másolja magát a Windows rendszerkönyvtárba:
C:WINNTSYSTEM32 drvsys.exe
létrehozza az alábbi két fájlt is:
– drvsys.exeopen
– drvsys.exeopenopen
A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “drvsys.exe” = C:WINNTSYSTEM32drvsys.exe,
és megkísérli leállítani a futó biztonsági alkalmazásokat.
A W32/Bagle.z@MM vírust április 26-án fedezték fel, az aznap kiadott 4353-as DAT fájl már tartalmazza a vírus felismeréséhez szükséges információkat.
További információ a W32/Bagle.z@MM féregvírusról a http://vil.nai.com/vil/content/v_122415.htm címen.