Négy új Bagle variáns is megjelent csütörtökön

Az antivírus szakértők arra figyelmeztetnek, hogy a vírusíró által kidolgozott új technikák megnehezítik az új variánsok feltartóztatását.

Az antivírus cégek új frissítéseket tettek közzé a Bagle.Q, R,S és T variánsok ellen, melyek ellentétben a januári eredeti változattal nem fájlmellékletben szállítják a vírust, hanem egy több hónapja ismertté vált Windows biztonsági rést kihasználva törnek be a sebezhető gépekbe. „Nagyon csúnyák, elég csak egy e-mail klienssel előzetesen betekinteni az üzenetbe, és a vírus letöltődik a számítógépbe”, mondja Graham Cluley, a Sophos vezető tanácsadója. A férgek által használt biztonsági rés az ún. Internet Explorer Object Data Remote Execution sebezhetőség, amely abból adódik, ahogy a böngésző szoftver értelmezi a HTTP adatokat. A Microsoft 2003 augusztusában közzétette a javítóprogramot .

Amikor egy kijavítatlan gépen megtekintik vagy kinyitják a vírusüzenetet, a vírus először letölt egy PHP kiterjesztésű scriptet egy előre meghatározott webkiszolgálóról a sok közül, majd miután lefuttatódik a script, letölti és lefuttatja a tényleges vírus fájlt, közölte az F-Secure. A finn cég kutatói már átadták a hatóságoknak azoknak a gépeknek az IP címét, amelyek a vírust tárolják. Mikka Hyppönen, az F-Secure igazgatója elmondta, hogy „folyamatosan fejlődik a Bagle. Először volt a rendes melléklet, aztán átálltak a ZIP fájlra, majd jelszóval titkosították a ZIP fájlt, majd a jelszót grafikus fájlba rejtették, és most itt van ez a mostani.”