Bagle-ormen er ifølge det finske antivirusfirma F-Secure nu nået til version T i alfabetet. I løbet af det seneste døgn er Q, R, S og T-varianterne af ormen dukket op. Samtidig har ormen de sidste dage skiftet strategi.
Tidligere har samtlige versioner spredt sig som vedhæftede filer i en e-mail, men de nyeste versioner udnytter i stedet en ældre sårbarhed i Microsoft Internet Explorer.
Det betyder, at der ikke længere er en fil med virus i selve e-mailen. Dermed bliver Bagle-ormene ikke nødvendigvis stoppet af de såkaldte gateway-scannere, som kontrollerer mange virksomheders e-mail for virus.
Fra og med Q-versionen af Bagle udsender ormen i stedet en HTML-formatteret e-mail, som forsøger at udnytte et sikkerhedshul i Internet Explorer og dermed også i postprogrammerne Outlook og Outlook Express.
Når e-mailen åbnes, forsøger den at forbinde sig til en server, hvorfra den henter selve ormen ned, som derefter inficerer systemet på samme måde som de tidligere versioner.
Ved hjælp af en firewall kan virksomheder og private ifølge sikkerhedskonsulent Peter Kruse fra CSIS dog bremse ormen ved at lukke for både indgående og udgående trafik på port 81. Det er den port, koden i e-mailen forsøger at hente selve ormen gennem.
Microsoft udsendte i oktober sidste år en rettelse, som lapper sikkerhedshullet i Internet Explorer.
Kodeord som et billede
Da de første Bagle-orme, der ankom i krypterede ZIP-filer, dukkede op, kunne antivirusprogrammerne ikke scanne filerne. Derfor måtte antivirusfirmaerne indbygge en ny funktion, som kunne finde kodeordet i mailen.
Den metode holdt dog ikke mere end en uge, så havde Bagle-bagmændene skiftet tekst-kodeordet ud med et kodeord, der i mailen bliver vist som et billede. Det betyder, at virusscannerne igen ikke kan åbne de krypterede filer og scanne dem for orm.
- Den metode er ligesom død nu. Jeg vil ikke ud med præcis, hvad vi så gør nu, men vi bruger blandt andet nogle af de samme teknikker som til at fange spam, siger sikkerhedskonsulent Diego d'Ambra fra sikkerhedsfirmaet Softscan.
De nyeste versioner af Bagle og rivalen Netsky spreder sig dog ikke lige så voldsomt som de tidligere varianter.
- Efter de store udbrud, vi så i februar, så er det nu mere moderat. For bare to uger siden var det helt vildt, nu er det tåleligt, siger Diege d'Ambra.
Hvis Bagle-ormene skulle komme i så mange varianter, at antivirusfirmaerne løber tør for bogstaver, så vil de varianter, der kommer efter Z, blive tildelt en to-bogstavskombination. Dermed vil Bagle nummer 27 komme til at hedde Bagle.AA, hvis antivirusfirmaerne følger den sædvanlige procedure.
Relevante links