Odgovorov v temi: 112

[Veget]

Če kje zasledite pojav kakega novega virusa, takoj objavite prispevek v tem forumu!

Mi smo tu, da se skupaj bojujemo proti zlonamernežem, ki nam skušajo na vsak način uničiti tisto, ki smo bolj ali manj trdo prigarali!

[m-2-j]

W32.Beagle.M@mm

Odkrit dne: Marec 13, 2004 (Symantec)

Ponaredi svoj izvor, in sicer kod da prihaja z enega od sledečih naslovov + uporabnikova domena:
* management
* administration
* staff
* noreply
* support
torej: management@vasa-domena.si

Subject:
* Account notify
* E-mail account disabling warning.
* E-mail account security warning.
* E-mail technical support message.
* E-mail technical support warning.
* E-mail warning
* Email account utilization warning.
* Email report
* Encrypted document
* Fax Message Received
* Forum notify
* Hidden message
* Important notify
* Important notify about your e-mail account.
* Incoming message
* Notify about using the e-mail account.
* Notify about your e-mail account utilization.
* Notify from e-mail technical support.
* Protected message
* RE: Protected message
* RE: Text message
* Re: Document
* Re: Hello
* Re: Hi
* Re: Incoming Fax
* Re: Incoming Message
* Re: Msg reply
* Re: Thank you!
* Re: Thanks
* Re: Yahoo!
* Request response
* Site changes

Priponka: Nakljucno izbrano ime .exe datoteke, shranjene znotraj .zip ali .rar datoteke, tudi .pif datoteke. Datoteka je zascitena z geslom, ki je objavljeno v pošti. Imena datotek so pa sledeča (+končnica)::
* Attach
* Details
* Document
* Encrypted
* Gift
* Info
* Information
* Message
* MoreInfo
* Readme
* Text
* TextDocument
* details
* first_part
* pub_document
* text_document

Več Informacij na Symantecovi strani!

[Veget]

MyDoom-G

Podjetje Sophos opozarja na novo različico virusa Mydoom, ki v zadnjem času povzroča nemalo težav. Virus W32/MyDoom-G se razširja s pomočjo elektronskih sporočil. Uporabnik virus aktivira tako, da odpre priponko, ki je okužena. Z aktiviranjem se virus sam razpošlje na vse elektronske naslove, ki jih ima uporabnik shranjene v odjemalcu elektronske pošte. Aktivirani virus ustvari v mapi začasnih datotek tudi datoteko z imenom MESSAGE. MyDoom-G naredi v operacijskem sistemu poseben registrski ključ, ki mu omogočajo aktivacijo ob vsakem zagonu sistema. Pri podjetju Sophos svetujejo uporabnikom, da naj ne odpirajo pripetih datotek, ki prihajajo iz neznanih elektronskih naslovov. Program za odstranitev nadležnega virusa ježe na voljo in ga lahko snamete na Sophovi spletni strani.

Primer sporočila (Subject):

Auto-reply
Address verification
Your account is about to be expired
Your account is expired
Expired account
Bank information
Registration rejected
Rejected
excuse me
my photos
Warning
Attention
read!!!
i can tell you the future
your chance
please read
corrupted
missed
unknown
Microsoft
were unable to process your request
i need you
Interesting
were experiencing technical problems
Automatic notification
beauty
kleopatra
dear friend!
Response
Request
notification
price list
question
report
how are you?
hello!
confirmed
Email verification
verification
see you
You have been successfully registered
Please, confirm the registration
Registration
Your details
Your account details
service
melissa
pamela
jessica
your website
your text
your music
your letter
your archive
thank you
thanks
thanks!
your document
my details
here is the document
spreadsheet
Your request
do you still love me
do you love me
greetings
hello my friend
account details
your account
from me
Daily Report
summary
price-list
pricelist
attachment
Letter
attach
payment
description
information
paypal
TextFile
MoreInfo
AttachedFile
posting
object
readme
for_you
letter
document
application
all_document
AttachedDocument
message_part2
details
message_details
message
Document
TextDocument
response
account
problem
important
archive
nothing

Telo sporočila (Body) je naključno - (eden od sledečih):

Read the attached message
Here is the file"
Please have a look at the attached file
Please read the attached file
See the attached file for details
Your document is attached
Your file is attached
Hi! check the attachment for details
Test
Details are in the attached document
Read the document
See attachemnt
See attachment
See the attached message
See the attached document
Read this
Look at the document
Look at the attached file
Ok
Okay
See you
Re:
Please, reply
Here is the document
Test
Open the document
Full message is in the attached documen
Please, read and let me know what do you feel
Here it is

Pripete datoteke (z končnicami EXE, SCR, COM, PIF, BAT, CMD ali ZIP)

attachment
Letter
attach
att
file
payment
check
bill
news
text
for_you
letter
document
application
all_document


Povezave

• www.sophos.com



[NATISNI]

[scarab79]

Nova vrsta BAGLE-a

Družina internetnih črvov BAGLE je spet dobila novega člana, za katerega je podjetje Trend Micro razglasilo rumeni alarm - WORM_BAGLE.P.

Po svetu se je pričel širiti 15.3.2004, najprej najbolj po Japonski in Koreji. Virus se širi preko elektronske pošte z različnimi zadevami, besedili in priponkami. Virus naslove za pošiljanje okuženih elektronskih sporočil poišče v določenih datotekah na okuženem računalniku, za pošiljanje pa uporabi lasten SMTP programski modul.

Š iri pa se tudi preko omrežij za izmenjavo datotek (na primer KaZaa) in to tako, da shrani svojo kopijo v mape, ki v imenu vsebujejo niz "shar".

Ob zagonu virus okuži naključno izbrano datoteko tipa .EXE tako, da na njen konec doda svojo zlonamerno programsko kodo. Odpre tudi vrata 2556, kjer čaka na ukaze oddaljenega uporabnika.

Več podatkov o tem virusu kot tudi navodila in orodja za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.

[roky23]

netsky.B spet:

Ob zagonu okužene datoteke prikaže lažno obvestilo o napaki:
Error
The file could not be opened!

Zatem se skopira v imenik Windows pod imenom SERVICES.EXE in nastavi ključ za avtomatski zagon v sistemski register.

Črv zatem začne iskati e-poštne naslove.

Ko črv zazna, da je na voljo internetna povezava, se prične razpošiljati. V imeniku Windows naredi ZIP arhive, ki jih poimenuje enako kot vsebovane datoteke. Imena, ki jih uporablja, so:

Črv se zatem razpošlje v priponah z ZIP arhivom ali enim od zgornjih imen.

Zadeva okuženih sporočil je ponavadi:
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Če je pripet ZIP arhiv, se uporabnik okuži, če datoteko odpre in požene vsebovano datoteko. Če je pripeta izvršljiva datoteka, se uporabnik okuži ob zagonu le-te.

[roky23]

Na spletu sta se začela širiti nova črva. Mydoom.F, ki se je pojavilže pretekli petek, se je v sredo začel močneje širiti tudi po Sloveniji. V sredo pa se je pojavil tudi črv Netsky.C.

Š iri se po elektronski pošti in imenikih v skupni rabi, razpošilja pa okužena sporočila z različnimi naslovi sporočil in vsebinami, so sporočili iz družbe Kabi, ki izvaja tehnično podpora za protivirusni program F-Secure.

Mydoom.F je podoben prvi verziji črva Maydoom.A, ki se je začel z rekordno hitrostjo širiti konec januarja. Vendar namesto spletne strani ameriškega podjetja SCO Group napada spletne strani Microsofta in ameriškega združenja glasbenih založnikov RIAA (Recording Industry Association of America). Črv briše dokumente in datoteke s slikami na vseh enotah, ki so dostopne z okuženega računalnika.

Črv Netsky.C, znan tudi kot Moodown.C, se širi v zip priponkah ali kot izvršljiv program. Uporabnik računalnik z virusom okuži, če odpre zip arhiv in požene vsebovano datoteko. Če je pripeta izvršljiva datoteka, se uporabnik okuži ob njenem zagonu.

[borutvel]

Črv Bagle.Q se je pojavil 18. marca 2004. Istega dne so se pojavile še tri izpeljanke - Bagle.R, Bagle.S in Bagle.T:

http://www.f-secure....s/bagle_r.shtml
http://www.f-secure....s/bagle_s.shtml
http://www.f-secure....s/bagle_t.shtml

Črv se širi tako, da okuženo datoteko sname s spletnega strežnika. Za samodejni prenos datoteke ob odpiranju sporočila uporabi napako Internet Explorer Object Data Remote Execution, katere popravek je Microsoft objavil na naslovu: http://www.microsoft...n/MS03-032.mspx

Skripta, ki jo sname z vnaprej vpisanega seznama strežnikov, vsebuje ukaze v jeziku Visual Basic Script, ki naredijo in poženejo datoteko "q.vbs". Le-ta sname dodatno datoteko s podaljškom ".jpeg", jo preimenuje v "sm.exe" in požene.

Bagle.Q tudi okužuje druge EXE datoteke.

Verzija Bagle.Q se skopira v datoteko DIRECTS.EXE

Vir:www.f-secure.si

[Veget]

Super delo fantje!

Kar tako naprej :bravo:

[roky23]

Win32/Begale.N je črv, ki ima vgrajeno lastno SMTP komponento za razpošiljanje in je nova varianta črva Beagle (zadnja v verziji Beagle.N). Za širjenje uporablja tudi P2P programe kot so KaZaa, Bearshare, Limewire, itd).

Win32/Beagle-N doda naslednjo vrednost: winupd.exe = [SYSTEM]winupd.exe v registru: HKCUSoftwareMicrosoftWindowsCUrrentVersionRun

zaustavi antivirus in firewall programe na sistemu

odpre TCP port 2556 preko katerih lahko napadalec dostopa do okuženega računalnika




Elektronsko sporočilo, ki ga virus pošilja:

Ime pošiljatelja (From: address) je naključno in običajno pred znakom '@' doda sledeča imana:.

management@
administration@
staff@
noreply@
support@
ostali naslovi, ki jih najde v sistemu
Telo sporočila (body) je naključno:

Account notify
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Email report
E-mail technical support message.
E-mail technical support warning.
Priloga elektronskega sporočila je naključna (.pif)


Greeting
Dear user of %s ,
Dear user of %s e-mail server gateway,
kjer je '%s' uporabnik domene, ki se nahaja v naslovu prejemnika (To: address).

Pripeta datoteka je lahko s končnico .EXE, .PIF ali kot .ZIP ali .RAR arhivska datoteka zaščitena z geslo. Geslo se nahaja v sporočilu.
Datoteka se kaže kot pisava True Type v obliki ikone:

[roky23]

Datuma nastanka: 1.3.2004 / Poreklo: / Tip: Virus -Email worm
Ocena nevarnosti: 4/5 (1-zelo nizka do 5-izredno visoka)


Win32/Netsky.D je črv, ki se širi z elektronsko pošto. Vsebuje tudi lastno SMTP komponento za razpošiljanje na elektronske naslove, ki jih najde v vašim datotekah tipa .htm,.txt,.wab,.html. Ustvari kopijo črva winlogon.exe v Windows System imeniku.


winlogon.exe se naloži z vrednostjo ključa ICQ Net = "C:Windowswinlogon.exe - stealth" v registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun




Elektronsko sporočilo, ki ga virus pošilja:

Primer sporočila (Subject):
Re: Approved
Re: Details
Re: Document
Re: Excel cases out
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
Re: Re: Document
Re: Re: Message
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Thanks!
Re: Word cases out
Re: Your files
Re: Your bill
Re: Your details
Re: Your document
Re: Your to letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website

Telo sporočila (body) je naključno
Here is the cases out.
Please have to look AT the attached cases out.
Please read the attached cases out.
See the attached cases out for details.
Your document is attached.
Your cases out is attached.

Priloga elektronskega sporočila je naključna (.pif)
all_document.PIF
application.PIF
document.PIF
document_4351.PIF
document_excel.PIF
document_full.PIF
document_word.PIF
message_details.PIF
message_part2.PIF
mp3music.PIF
my_details.PIF
your_archive.PIF
your_bill.PIF
your_details.PIF
your_document.PIF
your_file.PIF
to your_letter.PIF
your_picture.PIF
your_product.PIF
your_text.PIF
your_website.PIF
yours.PIF

[roky23]

Win32/Nodoom.A is a worm spreading in a form of attachment in e-mail messages. Its size is 5568 B and it's compressed using the FSG utility. It runs on all MS Windows OS platforms.

Note: In following text a symbolic inscription %windir% is used instead of the name of directory in which Windows operating system is installed. Of course, this may differ from installation to installation. The subdirectory System or System32 placed in %windir% has a name %system%.

The worm creates a mutex named “Ctsls-1x8-MutextTIp” to make sure there is only one copy of it running on the infected computer. It verifies the system date and time and limits its activity to the months of January and February.

To make sure the worm is activated upon the next computer restart it alters the following registry key: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
by adding the following value: Ctsls. And it also copies a new file on the hard disk named: %SYSTEM%ctsls.exe

The worm harvests new e-mail addresses for its spreading from files with the following extensions:

".MMF"
".NCH"
".MBX"
".DBX"
".EML"
".TBB"
".OCS"
".TXT"
".HTML"
".HTM"

located on the C: drive.

The worm encodes its body using the Base64 method and saves it in the following file: %SYSTEM%Ynit.tmp
Later the worm uses this file as an attachment in the e-mails it sends out.
In the registry keys it searches for the default SMTP server and sends infected e-mail messages with an attachment using one of the following names:

"pics.pif"
"patch.exe"
"screensaver.scr"
"file.txt .exe"
"weird.jpg .zip.exe"
"myfiles.exe"
"antiserum_1.exe"

The worm uses one of the following Subject lines in its messages:

"Happy Birthday"
"I can't recall what happened but.."
"I don't understand.."
"Is this the Smallest C++ MassMailer???"
"Shit happens..."
"SoBig SoSmall"
"Virus Alert: W32.Nodoom.A@mm "

The body of the message contains one of the following strings:

"Here are the files you asked for,ncheer"
"MessageLabs are the first to report of the new Nodoom Internet WormnPlease install the patch attached in this email to prevent outbreaks"
"nnCan you recall what happened at the party last friday?nI'm having serious problems, i really should stop smoking!ntttt, nMaybe the picture files attached will explain it to you..."
"nnplease explain me this attachment, it confused me.."
"SoSmall, SoCold, SoNice, SoGood, SoWarm.."
"Is this what where all about?"

During the run of the worm on the computer the following message is read into the main computer memory, but it never shows up anywhere and it is deleted from the computer memory after freeing allocated memory:

"Coded as Proof Of Concept only..To show that C++ MassMailers can be as small as Asm MassMailers.....This Program Has NEVER Been Released By The Author!!The Author can NOT be held responsible for any damage caused..As show of good will, i have put a DEADLINE+uneffective email bodies+unoptimized code...just so that it won't spread at all..."

The detection of Win32/Nodoom.A using sample is added since version 1.628 .

[roky23]

The Win32/Doomjuice.B worm is a modification of its A variant. It arrives compressed via UPX utility in a file 5120 B in size. After decompression its size increases to 6656 B. Unlike the Doomjuice.A worm the Doomjuice.B worm does not carry the source code of the MyDoom.A worm.

Note: In the following text a symbolic string %windir% is used instead of the real name of the Windows installation directory. The latter may differ on a case by case basis. The subdirectory System or System32 placed in %windir% has a name %system%.

The Doomjuice.B worm creates a Mutex consisting of the name of the infected computer and the string “ -sncZZmtx_133 “. The worm copies itself into the %system% or %temp% directories using the name regedit.exe .

In one of the following keys:

HKLM/Software/Microsoft/CurrentVersion/Run, or HKCU/Software/Microsoft/CurrentVersion/Run

the worm creates an entry named NeroCheck .

The worm's spreading algorithm mimics that of its predecessor Doomjuice.A. It takes advantage of the backdoor created by the MyDoom.A worm. Its random IP address generator attempts to find possible victims and tries to connect to the port number 3127.

[roky23]

Datuma nastanka: 26.1.2004 / Poreklo: / Tip: Virus -Email worm
Ocena nevarnosti: 3/5 (1-zelo nizka do 5-izredno visoka)

Aktiviranje:

Win32/Domaru.Z je črv, ki se sam aktivira v Windows operacijskem sistemu. V kolikor ga imate boste našli datoteko DLLXW.EXE v Startup imeniku in L32X.EXE, VXD32V.EXE v Windows System imeniku.

Razpošiljanje preko elektronske pošte:

Razpošilja se kot pripeti dokument v elektronskem sporočilu. Črv ima tudi vgrajeno lastno SMTP komponento za elektronsko razpošiljanje. Naslove išče v datotekah, ki se nahajajo na računalniku in so s končnicami .htm, .txt,. wab, .html.


Elektronsko sporočilo, ki ga virus pošilja:

Zadeva (subject) sporočila:
Important information for you. Read it immediately !

Telo sporočila (body) pa je običajno:
Hi !
Here is my photo, that you asked for yesterday....

Priloga elektronskega sporočila:
myphoto.zip

V datoteki myphoto.zip se nahaja datoteka myphoto.jpg.exe, ki je prikrita s presledki tako, da jo običajno vidimo kot myphoto.jpg

[scarab79]

Witty is a network worm that spreads through direct network connections, targeting machines that are running BlackIce security software.

More information at Incidents.org:

http://isc.sans.org/...date=2004-03-20

Witty is a pure network worm, it does not spread through email.

Detailed Description:

Witty uses a vulnerability in ICQ instant messaging protocol parsing routines of the ISS Protocol Analysis Module (PAM). More information on the vulnerability and the affected products is available from

http://xforce.iss.ne...e/alerts/id/166

The size of the worm suggests that it has been hand-written in assembly programming language. The center of the code is a tight loop that generates UDP packets with source port 4000 and random destination port numbers. The worm sends itself in UDP packets to 20000 random IP addresses.

After sending 20000 packets Witty opens a random physical drive and performs certain operations. The details of that are however yet unclear and are being investigated.

The worm contains the following text:


(^.^) insert witty message here (^.^)

[scarab79]

ALERT - Black Ice Worm
Preliminary Outbreak Alert

We did receive reports about a new worm that apparently infects systems running BlackIce.

The worm spreads using UDP packets with random target ports, and a fixed source port of 4000. A bug in Black Ice's ICQ content inspection engine is used to infect the target system. The packet is inspected regardless of any listening programs on respective target ports.

Quick Fix:

Block port 4000 UDP.
This may break some random DNS queries.

Patch Info:
http://blackice.iss....enter/index.php

Vulnerability Details:
http://xforce.iss.ne...e/alerts/id/166

An update for BlackIce was made available yesterday. It is not clear if the last version is vulnerable or not. BlackIce indicates revisions with three letters at the end of its version number. The last letter indicates the revision. Currently, the 'g' revision is the latest. We did verify that the 'f' version (e.g. Blackice 3.6 ccf) is vulnerable.

Turn off unpatched systems.

(Outlook: we expect to keep the infocon at yellow until at least tomorrow to watch the situation. The full impact may not be clear until monday as home users with infected laptops may enter corporate networks)

[roky23]

v soboto se je pojavil črv Witty, ki izkorišča varnostno luknjo v požarnih zidovih BlackIce in RealSecure. Črv "živi" samo v pomnilniku RAM in se ne zapisuje na disk. Na naključno izbranem naslovu IP poskuša odpreti UDP vrata 4000 in če naleti na računalnik z enim od prej omenjenih izdelkov, izkoristi varnostno luknjo in se razširi nanj. Po 20 000 poskusih prepiše pribl. 65 KB "smeti" na naključno izbrano mesto na disku, pri tem pa je zelo neselektiven, saj vam lahko "povozi" podatke, zagonski sektor, tabelo razdelkov ali datotečni sistem. Postopek se nato ponavlja, vse dokler ga ne zaustavite, za kar zadostuježe ponoven zagon sistema, če vam medtem niže nepopravljivo "zapackal" diska.

[m-2-j]

Napad virusov ne pojenja

Potem, ko je podjetje Trend Micro v petek razglasilo rumeni alarm za virus WORM_BAGLE.Q, je včeraj razglasilo še rumeni alarm za novo različico virusa NETSKY, s celotnim imenom WORM_NETSKY.P. Ta nova različica virusa NETSKY se preko elektronske pošte širi z uporabo lastnega SMTP programskega modula in izkorišča znano ranljivost Internet Explorerja z oznako MS01-020. Ta ranljivost omogoča samodejen zagon elektronskim sporočilom pripetih datotek, več podatkov o tej ranljivosti pa lahko najdete na Microsoftovi spletni strani. Okuženo elektronsko sporočilo ima lahko zelo različne oblike, njihov natančnejši opis lahko najdemo na Trend Microvi spletni strani. Virus se poskuša širiti tudi preko omrežij za izmenjavo datotek, saj v mape na okuženem sistemu, ki bi lahko bile v skupni rabi preko teh omrežij, shrani svoje kopije. Virus zbriše določene ključe v registru operacijskega sistema WIndows, med drugimi tudi ključe, ki skrbijo za samodejen zagon virusov BAGLE, NACHI, MYDOOM in DEADHAT. Več podatkov o virusu, kot tudi orodje in navodila za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.

Avtor: David Bezgovšek
Računalniške Novice
O virusu WORM_NETSKY.P
O varnostni luknji MS01-020

[scarab79]

Virus: JOKE_TRAIN.B

Ta virus ne vsebuje škodljivih rutin. Ob zagonu "ziba" sliko na računalniškem ekranu tako, da uporabnik dobi občutek, da je na vlaku, nato pa odpre naslednje pogovorno okno:
Naslov:
"Nie wystapil zaden bald !! :)"
Besedilo:
"Sugestie, uwagi, grozby: mailto:sem@poczta.gazeta.pl"


Virus: TROJ_WEBMONEY.A

Ta trojanski konj se naloži v pomnilnik okuženega računalnika in zbira podatke, kot so na primer podatki o uporabnikovem računu Webmoney. Zbrane podatke shrani v datoteke:
- WMKEY.BIN
- WMMEM.BIN
- WMLOG.BIN
v mapo C: in jih nato pošlje po elektronski pošti na naslov sickboy@centrum.cz. Po pošiljanju virus zbriše zgoraj omenjene datoteke.

[m-2-j]

Nov črv - WORM_NETSKY.Q

Marca še ni konec,že je tu novi alarm za različico Q virusa WORM_NETSKY. Tako kot prejšnja različica, tudi WORM_NETSKY.Q izkorišča znano ranljivost Internet Explorerja ozr. Outlook Expressa, ki omogoča samodejen zagon k elektronskim sporočilom pripetih datotek in na ta način okužbo računalnikaže ob pogledu na okuženo elektronsko sporočilo.

Virus shrani svoje kopije v sistemsko mapo Windows v obliki datotek:
- FIREWALLLOGGER.TXT *
- SYSMONXP.EXE
- ZIPO0.TXT*
- ZIPO1.TXT*
- ZIPO2.TXT*
- ZIPO3.TXT*
*Zakodirane kopije virusa.

Ob okužbi ustvari spodnji vnos v sistemski register, s katerim zagotovi samodejen zagon virusa ob zagonu operacijskega sistema Windows.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysMonXP = "C:WindowsSysMonXP.exe"

Podjetje Trend Micro je takoj po odkritju tega virusa zanj izdal Outbreak prevention policy. Ta je namenjen zaščiti pred novimi virusi še pred izdajo novih datotek z virusnimi vzorci.

Več podatkov o virusu, kot tudi orodje in navodila za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.

Avtor: Miran Varga, originalni članek na RN

[borutvel]

Črv Bagle.V
Vzdevki: W32/Bagle.V@mm
Dolžina: 8208 znakov

Črv Bagle.V se je pojavil 29. marca 2004. Š iri se v sporočilih brez zadeve in vsebine, pripeta je datoteka GAME.EXE . Datoteka ima ikono injekcijske igle:



Podroben opis


Pripona je dolga 8208 znakov in stisnjena s programom FSG.

Ob zagonu se črv skopira v Windows sistemski imenik v datoteko z imenom SYSINFO.EXE in nastavi zagonski ključ v register:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"sysinfo.exe" = "%winsysdir%sysinfo.exe"

Ime pripone je vedno game.exe .

Ostalo delovanje je enako kot v verziji Bagle.U:

http://www.f-secure....s/bagle_u.shtml


Vir:www.f-secure.si