Az új Bagle variánsok telepítik a forráskódot is

A Sophos, a Symantec és a McAfee kedden két új variánsra, a W32/Bagle-AD-re és a Bagle-AE-re figyelmeztetett. Az új variánsok szinte azonosak egymással, és nagyon hasonlóak a korábbi verziókhoz is, mert vagy megosztott fájl mappák vagy e-mail mellékletek segítségével terjednek. A féreg futtatva egy hibaüzenetet jelenít meg, ugyanakkor e-mail címeket gyűjt a merevlemezről, s saját SMTP motorja segítségével tömegesen küldi magát tovább a fertőzött gépről. Új elem, hogy a féreg elhelyezi a befogadó gépbe a féreg forráskódját is, egy source.zip elnevezésű fájl formájában.

A fertőző levelek hamis címről érkeznek, általános téma megjelöléssel (Dokumentum, Köszönom, Frissítés,stb), mint ahogy a mellékelt ZIP, EXE, SCR fájlok is általános nevet viselnek (például Readme).

Az új változatok nem olyan virulensek, mint az előző változatok voltak, és csak a forráskód elhelyezésében különböznek. Ezzel a MyDoom féregcsalád szerzőjének/szerzőinek taktikáját követik, aki vagy akik februárban szétküldték a forráskódot, nyilván abból a megfontolásból, hogy nehezebben lehessen a nyomukra bukkanni. Illetve így logikusan védekezhetnek azzal, hogy semmi közük a gépükben talált kódhoz. Az utóbbi időben a hatóságok néhány nagy hírveréssel kísért letartóztatást hajtottak végre vírusíró körökben, vélhetően ez tette idegessé a Bagle szerzőit is.