Bagle-ormen slår til igen i ny forklædning, advarer antivirus- og it-sikkerhedsfirmaer. I går begyndte den nye e-post orm sin lange rejse til computere over hele verden via internettet. Den er allerede kendt under en række forskellige navne og ligner til forveksling sine ældre navnebrødre.
? På trods af ligheden kan den nye Bagle-orm nogle tricks, der gør det muligt for den at snyde antivirus-software og diverse filtre, siger vicedirektør Sam Curry, Computer Associates.
En mediumtrussel
Antivirusproducenten McAfee og CA vurderer begge, at den nye Bagle-variant er en medium-trussel, Vurderingen kommer efter at selskabernes kunder har videresendt masser af eksempler på bid fra ormen.
Ormen, der har fået tilnavnet Bagle AQ er muligvis kommet til verden gennem uautoriseret e-mail distribution i form af spam. Det mener i hvert fald den finske antivirus-virksomhed F-Secure.
Mandag eftermiddag havde mere end 35 virksomheder og 300 andre kunder videresendt eksemplarer på Bagle AQ til CA.
Bagle AQ indeholder som sine tidligere familiemedlemmer sin egen Simple Mail Transfer Protocol (SMTP) - en "e-post motor" - der stjæler e-postadresser fra filer lagret på inficerede harddiskdrev og sender sig selv til disse adresser med en forfalsket afsenderadresse.
Er svær at fange
Blandt de nye tricks Bagle AQ har på menuen er at snige et dynamisk link bibliotek ind i Windows, der gør det muligt for ormen at forklæde sig som søgemasinen Microsoft Internet Explorer.
? Det betyder, at computere med firewalls installeret lader ormen slippe igennem, fordi de tror, at aktiviteterne hænger sammen med Internet Explorer, siger Sam Curry.
Bagle AQ kan også omdøbe sit .exe-format til det mere uskyldige billedformat .jpg. Når så ormen er downloadet på den inficerede maskine omdøber den sig på ny og kører sin ondsindede .exe-fil.
CA mener, at ormen udnytter en facilitet i Windows, der bruges til at se og åbne komprimerede zip-filer. CA og andre har offentliggjort nye virusdefinitioner, der kan fange Bagle AQ, mens andre antivirusprodukter er i stand til at snuppe den uden opdateringer.
