To nye Bagle-ormer underveis

To varianter av Bagle-ormen spres nå via blant annet e-post. Ormene forsøker å deaktive sikkerhetsprogramvare.

To varianter av Bagle-ormen for Windows ble oppdaget i går. Som vanlig har ikke antivirusselskapene greid å enes om felles betegnelser, så de kalles for blant annet:

W32.Bagle.bj@mm, Win32.Bagle.AU, W32/Bagle.bj@MM, W32.Beagle.AY@mm, WORM_BAGLE.AY

og

W32/Bagle.bk@MM, WORM_BAGLE.AZ, Win32.Bagle.AU, W32.Beagle.AY@mm

Ifølge Virus112 skal den eneste forskjellen mellom de to variantene være måten de er pakket på.

Ormene forsøker å deaktivere en lang rekke sikkerhetsprogrammer som brannmurer og antivirusprogrammer. De sprer seg blant annet via e-post, hvor avsenderadressen er forfalsket. Emnet i e-postmeldingene varierer, men kan blant annet være "Delivery service mail" eller "Before use read the help". Beskjeden i meldingene kan være "Thanks for use of our software" eller "Before use read the help". Navnet på den vedlagte filen varierer også, men det kan eksempelvis være "viupd02" med exe, scr, cpl eller com som filnavnendelse.

Ormene søker gjennom det infiserte systemet etter e-postadresser som den kan sende seg selv til. Bagle-ormene åpner en bakdør, som lytter på TCP port 2339, som kan brukes av ondsinnede til å få adgang til systemet.

De vil dessuten forsøke å kontakte en lang rekke websider, som de bruker til å kommunisere med opphavspersonene. Når ormene kontakter disse sidene, vil de nemlig fortelle hvilke maskiner de har infisert, slik at utviklerne senere kan finne de infiserte maskiner og deretter benytte bakdøren til å få full adgang til systemet.

Ormene kopierer seg selv til alle mapper, som inneholder navnet 'shar', noe som kan gjøre det mulig for dem å spre seg igjennom Windows fildeling eller P2P-programmer. De skjuler seg blant annet under navnene "Adobe Photoshop 9 full.exe" og "Matrix 3 Revolution English Subtitles.exe".

- Nok en gang kan vi dessverre se, at det er lett å spre virus og ormer. Det er åpenbart mange som lar seg lokke og klikker på e-postvedlegg og lokkende navn i Windows fildeling og P2P-programmer. Vi kan kun sterkt tilråde, at man alltid bruker sund fornuft før man åpner filer fra e-post og fildelingsprogrammer, sier direktør Brian Petersen i Virus112, i en pressemelding.

Lite tyder foreløpig på at ormene spres i noen særlig grad i Norge, men det kan likevel være fornuftig å laste ned oppdaterte signaturfiler til antivirusprogramvaren allerede nå.

Til toppen