<img src="http://upload.userbase.be/upload/virus_kl.jpg" align="left" width="118" height="98"> Bagle verschalkt Service Pack 2. Service Pack 2 voor Windows XP biedt zelfs geen bescherming tegen het nieuwste Bagle-virus; het servicepack is zelfs het uitdrukkelijke doelwit van het onding. Gelukkig zit het virus verpakt in nogal simplistisch opgestelde mails die doorgewinterde gebruikers niet zouden mogen misleiden. De kans bestaat echter dat beginnende surfers wel in de val lopen.
Antivirusspecialisten McAfee en Trend Micro beschouwen Bagle.AT als een 'middelmatige' bedreiging, het Finse F-Secure noemt het virus een 'grote' bedreiging. Ze zijn bezorgd omdat Bagle.AT op de eerste dag al een groot aantal machines besmet zou hebben. De Bagle-worm is ondertussen toe aan variant AT (lees: de 47ste versie). Recente afkooksels van de ooit gevreesde worm waren niet zo gevaarlijk, maar deze nieuwe uitvoering is wat slinkser. Niet vanwege de manier waarop het virus zich aanbiedt - dat is eerder ordinair - maar wel door zijn payload. Op geïnfecteerde machines wordt de Internet Connection Firewall (ICF) uitgeschakeld, evenals de Security Center Service die met SP2 werden geïntroduceerd, zegt Trend Micro.
Dat heeft geen onmiddellijk gevolgen op de werking van de pc. Op langer termijn bestaat er gevaar, omdat de besmette computer kwetsbaar is voor aanvallen via het internet. Zeker omdat de worm luistert op TCP-poort 81, wat een indicatie kan zijn dat de auteur een vervolgworm plant. Bagle.AT zet naast de SP2-onderdelen ook verschillende antivirusapplicaties van derden en Internet Connection Sharing (ICS) uit.
Mails die Bagle.AT bevatten, zijn te herkennen aan de onderwerpen "Re: Hello", "Re: Hi", "Re: Thank you!" en "Re: Thanks : )". De tekst van het bericht is zeer summier: ": )". Het eigenlijk venijn zit in het bijgevoegde bestand, dat de naam PRICE of JOKE draagt, samen met een .EXE-, .CPL-, .SCR- of .COM-suffix. Het virus verspreidt zich door de ingebouwde SMTP-motor.
Bij McAfee krijgt de worm een iets afwijkende naam: Bagle.bb. De firma merkt op dat deze Bagle-variant zich ook probeert te verspreiden via P2P-netwerken. Dat doet het door zichzelf te kopiëren naar mappen die het woordfragment 'shar' bevatten. Om ervoor te zorgen dat andere P2P-gebruikers Bagle zouden downloaden, vermomt de worm zich als begeerde software, zoals licentienummers voor Windows XP, pornobeelden, Ahead Nero 7 of ondertitels voor de laatste Matrix-film.
Bron: ZDNet.be van 29 oktober 2004
