Bagle.AT wormvirus neemt SP2 op de korrel

Nieuwe variant zet Windows Firewall uit

29 oktober 2004 | Jamie Biesemans Zelfs Service Pack 2 voor Windows XP biedt geen bescherming tegen het nieuwste Bagle-virus: SP2 is zelfs het uitdrukkelijke doelwit van het virus. Gelukkig zit Bagle.AT verpakt in nogal simplistisch opgestelde mails die doorgewinterde gebruikers niet zou mogen misleiden.

De kans bestaat echter dat beginnende surfers wel in de val lopen. Antivirusspecialisten McAfee en Trend Micro beschouwen Bagle.AT als een "middelmatige" bedreiging, de Finse F-Secure noemt het virus een grote bedreiging. Ze zijn bezorgd omdat Bagle.AT op de eerste dag al een groot aantal machines besmet zou hebben.

Mails die Bagle.AT bevatten, zijn te herkennen aan de onderwerpen "Re: Hello", "Re: Hi", "Re: Thank you!" en "Re: Thanks :)". De tekst van het bericht is zeer summier: ":))". Het eigenlijk venijn zit in het bijgevoegde bestand, dat de naam PRICE of JOKE draagt, samen met een .EXE-, .CPL-, .SCR- of .COM-suffix. Het virus verspreidt zich door de ingebouwde SMTP-motor.

De Bagle-worm is ondertussen toe aan variant AT (lees: de 47ste versie). Recente bastaardkinderen van de ooit gevreesde worm waren niet zo gevaarlijk, maar deze nieuwe uitvoering is wat geniepiger. Niet door de manier waarop het virus zich aanbiedt - dat is eerder ordinair - maar wél door zijn payload.

Op geïnfecteerde machines wordt de Internet Connection Firewall (ICF) uitgeschakeld, evenals de Security Center Service die met SP2 werden geïntroduceerd, zegt Trend Micro.

Dat heeft geen onmiddellijk gevolgen op de werking van de pc. Op langer termijn bestaat er gevaar, omdat de besmette computer kwetsbaar is voor aanvallen via het internet. Omdat de worm luistert op TCP-poort 81, lijkt het dat de auteur een vervolgworm plant. Bagle.AT zet naast de SP2-onderdelen ook verschillende antivirusapplicaties van derden en Internet Connection Sharing (ICS) uit.

Bij McAfee krijgt de worm een iets afwijkende naam: Bagle.bb. De firma merkt op dat deze Bagle-variant zich ook probeert te verspreiden via P2P-netwerken. Dat doet het door zichzelf te kopiëren naar folders die het woordfragment 'shar' bevatten. Om ervoor te zorgen dat andere P2P-gebruikers Bagle zouden downloaden, vermomt de worm zich als begeerde software, zoals licentienummers voor Windows XP, pornobeelden, Ahead Nero 7 of ondertitels voor de laatste Matrix-film.

 

Lees meer artikels over : bagle, bagle, sp2, sp2, virus, virus, service pack, service pack, worm, worm

bron: ZDNet