Bagle.a is mogelijk eerste van reeks virussen

Experts vergelijken mass-mailer met Sobig

19 januari 2004 | Jamie Biesemans De snelle opmars van het nieuwe Bagle-virus doet experts vrezen voor een epidemie op de schaal van Sobig. Het onding biedt zich aan als een e-mail die schijnbaar van een systeembeheerder afkomstig is, en bevat een bijgevoegd bestand dat eruit ziet als de rekenmachine van Windows. Een geluk bij het ongeluk dat Bagle.a heet, is dat het virus een ingebouwde einddatum van 28 januari heeft.

Die einddatum is voor veiligheidsexperts echter reden om te vrezen dat dit slechts een eerste versie van Bagle is, en dat er meer geraffineerde varianten zullen verschijnen. Dat was ook het geval bij Sobig, een virus dat verschillende 'testversies' had en pas in zijn definitieve f-vorm uitgroeide tot een van de grootste plagen van 2003.

Bij nadere beschouwing is Bagle.a meer dan een mass-mailervirus. Bagle stopt namelijk niet bij het bestoken van alle contacten in het adresboek, maar installeert tevens een trojaans paard op een besmette pc. Via deze achterdeur kunnen hackers toegang krijgen tot gevoelige gegevens.

Hoe ernstig de bedreiging van Bagle.a is valt moeilijk te zeggen. De worm wordt door het AVERT-lab van McAfee en Trend Micro beschouwd als een middelmatige bedreiging. Dat betekent een verhoging van de initiële status, waarin Bagle nog werd omschreven als een 'beperkt risico'. Het Britse bedrijf MessageLabs, dat Bagle het predikaat 'High Risk' meegeeft, maakt melding van 45.000 geblokkeerde mails die het virus bevatten. Het merendeel daarvan komt uit Australië, Hong Kong en Zuid-Korea. De origine ligt volgens het bedrijf evenwel in Duitsland, wat lijkt te worden bevestigd door de vele verwijzingen naar Duitse sites in het Trojaanse-paardgedeelte.

Een e-mail met Bagle is te herkennen aan het onderwerp 'hi' en een inhoud die begint met de woorden 'Test =)', gevolgd door enkele willekeurige lettertekens, en eindigend op 'Test, yep'. Het bijhorende bestand heeft eveneens een willekeurige, is circa 16 KB groot en draagt het icoontje van de Windows-rekenmachine. Dat is tevens het programma dat verschijnt bij het uitvoeren ervan. Het gedeelte dat de achterdeur van de pc openzet voor hackers installeert zich op de achtergrond en is actief op poort 6777.

Gebruikers kunnen controleren of hun pc is besmet met Bagle door te zoeken naar het bestand 'bbeagle.exe'. Dat verblijft op besmette pc's in de Windows System-folder. Lees meer artikels over : virus, bagle

bron: ZDNet