Nieuw Bagle-virus doet de ronde

Variant massa-mailer verspreidt zich sneller

18 februari 2004 | Jeff Ronge Een variant van het Bagle-virus, dat zichzelf via e-mail massaal probeert verspreiden, is dinsdag opgedoken. Net als het originele virus verstuurt Bagle.B, ook bekend onder de naam W32.Alua@mm, zich per e-mail met een bijlage die de code van de worm bevat. Een pc wordt geïnfecteerd zodra de ontvanger de bijlage opent.

Het virus, dat is geprogrammeerd om op 25 februari te stoppen met de verspreiding, installeert software op de pc van het slachtoffer waardoor de schrijver van Bagle.B de controle over het systeem kan verkrijgen.

Hoewel de variant van het virus sterk lijkt op de originele Bagle, lijkt de worm zich toch sneller te verspreiden dan zijn voorganger. Dat zegt Joe Telafici, directeur van het antivirus en vulnerability emergency response team bij beveiligingsbedrijf Network Associates.

Volgens Telafici neemt het aantal rapportages na de eerste piek echter alweer af. Desondanks wordt het virus nog steeds als een 'medium threat' gekwalificeerd door Network Associates. Concurrent Symantec schaalt het virus gelijksoortig in met een 3 op zijn 5 punten-schaal van internetbedreigingen. E-mailprovider en -beveiliger Messagelabs meldde dinsdag ongeveer 17.000 onderschepte berichten met Bagle.B-bijlages.

Bagle.B kan aanwezig zijn in een e-mail die van een bekende lijkt te komen. Het bericht heeft als onderwerp "ID(willekeurig nummer)...thanks". Het virus is bijgevoegd als een .exe-bestand, dat de pc besmet als het wordt geopend.

Net als de Sobig-virussen is Bagle.B in staat zijn eigen e-mails te versturen, waardoor het een gestage stroom besmette berichten kan veroorzaken. Het virus verstuurt de berichten naar adressen die het vergaart uit verschillende bronnen op het systeem, zoals web caches, tekstbestanden en adresboeken van e-mailprogramma's. Als verzender wordt eveneens een willekeurig, op het systeem aangetroffen, e-mailadres gekozen.

Verder installeert het virus een remote access-programma en rapporteert de installatie aan de virusschrijver door contact op te nemen met verschillende Duitse websites en de informatie van de besmette pc te verzenden. Network Associates-woordvoerder Telafici acht het waarschijnlijk dat de schrijver van plan is de geïnfecteerde systemen te gebruiken voor spampraktijken. "Ik vermoed nog steeds dat dit zijn voornaamste motief is",verklaart Telafici. "De schrijver verzamelt systemen voor gebruik in een toekomstige actie." Lees meer artikels over : virus, bagle.b

bron: ZDNet