Søndag ble det oppdaget en ny e-postorm, kalt Bagle, som sprer seg som vedlegg til e-post, og installerer en bakdør på Windows PC-ene den infiserer.
Les også:
- [27.01.2004] Raskt spredende virus forbereder angrep mot SCO
- [21.01.2004] Overdrevet frykt for Bagle-ormen
- [19.01.2004] Ny skadeorm sprer seg raskt i Norge
- [09.01.2004] Hackere kontrollerte PC-er bak statens brannmur
- [07.01.2004] Folk har ikke lært av høstens virusskrekk
Statistikk fra norske tjenester som renser bedrifters e-post for innkommende virus, viser betydelig spredning av Bagle. Morgentallene fra Telenor går ut på at det det siste døgnet ble fanget opp 8739 virussmittede meldinger, hvorav 5226 med Bagle. Tilsvarende tall fra Itegra er 141 av 349. Comendo, som renser e-post for kunder over hele Skandinavia, meldte å ha stanset 10.000 tilfeller av Bagle fram til kl 1320 i går. Mens andelen virussmittet e-post var 0,8 prosent søndag, var den i går 8,6 prosent. Comendos tall for de siste 24 timene går ut på at Bagle står for nærmere 83 prosent av all smitten
Internasjonale rapporter tyder på at andre vesteuropeiske land også opplever betydelig Bagle-aktivitet. Det samme gjør Australia. USA ventes å merke Bagle i dag, etter helligdagen i går.
At Bagle startet spredningen på en søndag, har gitt virusvernerne anledning til å oppgradere sine produkter og spre antistoffet til sine kunder før arbeidsdagen tok til mandag. Bagle betraktes følgelig som en større trussel for hjemmebrukere enn for bedrifter, selv om e-posten den genererer oppfattes som plagsom.
Eksperter hos Computer Associates som har analysert koden, mener den inneholder åpenbare feil. Bagle deaktiverer seg selv 28. januar. Det kan tyde på at en korrigert versjon kan spres etter den datoen. Tidligere skadeormer, blant dem Sobig.F, ble spredd etter dette mønsteret.
Bakdøren til Bagle åpner port 6777 på den infiserte PC-en. Den kan brukes til å formidle innsamlede e-postadresser, og til å motta ordre om masseutsendelse av en bestemt e-postmelding, altså å spamme. Eksperter hos F-Secure mener dette kan være noe av hensikten med Bagle.
Seriøse antivirusleverandøret har for lengst oppgradert sine produkter til å verne mot Bagle. Ellers gjelder den generelle regelen om ikke å åpne vedlegg i e-post man er usikker på, og i Bagles tilfelle: Åpne spesielt ikke e-post som gir seg ut for å være en kalkulator.
Smittede maskiner har filen bbeagle.exe i katalogen Windows System. Anvisninger om hvordan viruset fjernes, finnes på nettstedene til de fleste kjente antivirusleverandørene.