Bagle-worm blijft muteren

Weer vijf nieuwe varianten gesignaleerd

01 maart 2004 | Joost Blokzijl Bagle blijft voor nakomelingen zorgen. Sinds zaterdag zijn er weer vijf nieuwe varianten van de worm opgedoken. Twee van deze varianten waren zo slim geconstrueerd dat ze aan de aandacht van virusscanners en mailserver-filters ontsnapten.

Antivirusbedrijven hebben de verschillende varianten inmiddels aangeduid als respectievelijk Bagle C, D, E, F en G. De eerste drie worden door virusscanners met recente virusdefinities tegengehouden, de F- en de G-variant glippen zonder problemen door de anti-virussoftware op mailservers. Gelukkig zijn Bagle F en G zo geprogrammeerd dat ze na 25 maart geen schade meer kunnen aanrichten.

Anti-virusbedrijf F-Secure laat weten dat de laatste variant van de worm in een versleuteld zip-bestand zit verborgen en daardoor moeilijk te herkennen is. In het e-mailbericht zelf staat het wachtwoord om het zip-bestand te openen. Zip-bestanden die aan een e-mail hangen worden zelden geblokkeerd door de virusscanners van bedrijven en internetproviders. Dankzij het wachtwoord kan de virusscanner bovendien niet zelf controleren of de inhoud van het bestand veilig is.

Net als de Sobig-virussen zijn Bagle-wormen in staat om eigen e-mails te versturen, wat een gestage stroom besmette berichten kan veroorzaken. Het virus verstuurt de berichten naar adressen die het vergaart via verschillende bronnen op het systeem, zoals web caches, tekstbestanden en adresboeken van e-mailprogramma's. Als zendadres wordt een van de gevonden e-mailaccounts gekozen.

Verder installeert het virus een remote access-programma en rapporteert het de installatie aan de virusschrijver, door contact op te nemen met verschillende Duitse websites en de informatie vanaf de besmette pc te verzenden. Lees meer artikels over : bagle, worm, variant

bron: ZDNet