Bagle er tilbake

En ny variant av ormen Bagle sprer heft og plunder på verdens pc-er.
Antivirusselskapet Virus112 melder om stor spredning av en ny variant av Bagle-ormen, bagle.at. Virus112 har stoppet over 5000 Bagle-ormer i sitt Pre Virus Recognition filter siden fredag morgen.

-- Den hurtige spredning skyldes at mange antivirusprogrammer enda ikke kan stoppe ormen, sier Brian Petersen, direktør i Virus112.

Bagle.at sprer seg via e-post, Windows fildeling og P2P-fildelingsprogrammer, i epost via forfalskede avsenderadresser. Ormen finnes i en vedheftet fil med et av følgende navn Price, price eller Joke, som har filendelsen .com, .cpl, .exe eller .scr.

Ormen kopierer seg selv til alle mapper, som inneholder navnet 'shar' under lokkende navn som Adobe Photoshop 9 full.exe og Microsoft Office XP working Crack, Keygen.exe.

Den hurtige spredningen skyldes blant annet de lokkende navnene og utbredelsen av fildelingsprogrammer og hurtige bredbåndsforbindelser. Ormen lager blant annet endringer i registreringsdatabasen, så den starter sammen med Windows.

Bagle.at sletter dessuten en rekke nøkler opprettet av andre ormer. Ormen inneholder også en bakdør, som lytter på TCP port 81, som kan utnyttes til å laste ned og eksekvere filer på det infiserte system.

W32.Bagle.at@mm forsøker dessuten å stoppe en lang rekke sikkerhetsprogrammer, blant annet antivirus og brannmurer.