En ny variant af den efterhånden velkendte Bagle-orm blev opdaget natten til søndag. Mandag morgen melder antivirusfirmaet Sophos om endnu en variant, hvilket bringer os til det 15. bogstav i alfabetet, O.
Ligesom alle de foregående varianter angriber de nye Bagle-orme pc'er med Microsoft Windows 95, 98, NT, ME, XP og 2000.
Indtil videre er det dog kun Bagle.N, som har fået flere antivirusfirmaer til at udsende en advarsel.
Advarsel fra administrator
Måden. hvorpå Bagle.N forsøger at lokke modtageren til at åbne den vedhæftede fil, minder om J-varianten af Bagle.
Den udgiver sig for at være en e-mail fra administratoren på det domæne, som modtagerens e-mail-adresse ligger på. Altså vil knud@eksempel.dk få en e-mail, som på engelsk hævder at være fra administratoren af postserveren eksempel.dk.
Netop denne fremgangsmåde, som Bagle.J også brugte, gør ormen ekstra farlig, fordi den kan sprede sig til brugere, som stoler på, at der faktisk er tale om en vigtig e-mail. Specielt fordi e-mailen fortæller modtageren, at vedkommendes e-mailkonto er blevet misbrugt.
Ormen er også en virus
Selve ormen ankommer som enten en PIF, EXE, ZIP eller RAR-fil. Både ZIP og RAR-filerne er beskyttet med en adgangskode, som står i selve mailen.
Noget nyt ved de to seneste varianter af den efterhånden ganske store Bagle-familie er, at de to orme også spreder sig som en virus. Det vil sige, at ormen inficerer programmer, der ligger på den angrebne pc.
Ormen lægger sin egen kode ind i alle de programfiler, den finder på pc'en. Når et inficeret program åbnes, bliver ormen også aktiveret.
Bagle.N spreder sig både via e-mail og fildelingsprogrammer som eksempelvis Kazaa.
Udover at inficere systemet vil Bagle også forsøge at fjerne antivirusprogrammer og eventuelle kopier af den konkurrerende orm, Netsky.
Desuden installerer ormen en bagdør, som lytter på port 2556.
Genkender ormen uden at kende den
Mange antivirusprogrammer vil opfange i hvert fald en del af de nye Bagle-orme takket være de såkaldte heuristiske virusscannere. Sådan en scanner genkender en virus på nogle generelle kendetegn, frem for det binære fingeraftryk, som virusscannerne normalt bruger til at identificere en virus eller orm.
Flere antivirusfirmaer har i kølvandet på de mange varianter af Bagle og Netsky udarbejdet særlige signalementer af ormene, som gør, at virusscannerne i et vist omfang også kan genkende de nye varianter.
Derfor vil visse antivirusprogrammer identificere de nyeste Bagle-varianter som eksempelvis Bagle.Gen-zip eller Bagle.M.
Mens de forskellige orme tidligere har indeholdt fornærmelser af modparten i den fortsatte kamp mellem på den ene side bagmændene bag Netsky-ormene og på den anden siden Mydoom og Bagle, så indeholder Bagle.N et billede af en sommerfugl, tegnet med bogstaver.
Ifølge det finske antivirusfirma F-Secure indholder Bagle.N dog også nogle sætninger, som antivurisfirmaet dog "ikke vil gengive".
Antivirusfirmaer om Bagle.N:
