Experts vergelijken nieuw virus met Sobig

Bagle.a is mogelijk eerst van een reeks

19 januari 2004 | Jamie Biesemans De steile opmars van het nieuwe Bagle-virus doet experts vrezen voor een epidemie op de schaal van Sobig. Het onding biedt zich aan als mail die schijnbaar van een systeembeheerder afkomstig is en bevat een bijgevoegd bestand dat eruit ziet als de rekenmachine van Windows. Gelukkig heeft Bagle.a een ingebouwde einddatum van 28 januari.

Voor veiligheidsexperts is dit wel meteen de reden om te vrezen dat dit slechts de eerste versie van Bagle is en dat er meer geraffineerde varianten zullen verschijnen. Dat was ook het geval bij Sobig, een virus dat verschillende 'testversies' had en pas in zijn definitieve f-vorm uitgroeide tot één van de grootste plagen van 2003.

Afgaande op de constructie van Bagle.a lijkt de auteur meer van plan dan enkel een mass-mailer virus te schrijven. Het werk van het ding stopt namelijk niet bij het bestoken van iedereen uit het adresboek, maar omvat ook het installeren van een Trojaans paard op een besmette pc. Via deze achterdeur kunnen hackers eventueel toegang krijgen tot gevoelige gegevens.

Hoe ernstig de bedreiging van Bagle.a juist is, valt moeilijk op te maken. De worm wordt door het AVERT-lab van McAfee en Trend Micro beschouwd als een middelmatige bedreiging - een verhoging van de initiële status. Die omschreef Bagle als een beperkt risico. Het Britse bedrijf MessageLabs, dat Bagle omschreef als 'High Risk', meldt al 45.000 geblokkeerde mails die het virus bevatten. Het merendeel daarvan komt uit Australië, Hongkong en Zuid-Korea. De origine ligt volgens het bedrijf evenwel in Duitsland, wat ook bevestigd wordt door de vele verwijzingen naar Duitse sites in het Trojaans paardgedeelte.

Een e-mail met Bagle is te herkennen aan het onderwerp 'hi' en een inhoud die begint met de woorden 'Test =)', gevolgd door willekeurige lettertekens, en eindigend op 'Test, yep'. Het bijhorende bestand heeft een naam op toevalsbasis, is circa 16 KB groot en draagt het icoontje van de Windows-rekenmachine. Dat is ook het programma dat verschijnt bij het uitvoeren ervan; maar in de achtergrond doet het virus zijn snode werk.

Het achterdeurgedeelte installeert zich in de achtergrond en 'luistert' op poort 6777. Via deze weg kan een hacker toegang krijgen tot een pc.

Nakijken of een pc besmet is met Bagle kan door te zoeken naar het bestand 'bbeagle.exe'. Dat resideert bij besmette pc's in de Windows System-folder. Lees meer artikels over : virus, bagle

bron: ZDNet