A férget a magyar VirusBuster biztonságtechnikai cég is detektálta – már több mint 350 Bagle variáns van a listájukon –, majd működésének megismerése után a kiemelten veszélyes kártevők közé sorolta be.
A korábbiakhoz hasonlóan, a 20-án este is minden felfutás nélkül, hirtelen elterjedt Bagle variáns is e-mail üzenetek csatolmányában terjed. Az I-Worm.Bagle.JS elnevezésű féreg egy angol keresztnevet feltüntető tárgyú e-mailben érkezik, annak jelszóvédett ZIP csatolmányában. A kicsomagoláshoz szükséges jelszót képként kapjuk meg. Mivel a heurisztikus víruskereső programok így nem tudják kicsomagolni a tömörítvényből, detektálni sem tudják a számukra még ismeretlen vírust.
A ZIP archívum kicsomagolását és lefuttatását követően a féreg egy rootkit programmal együtt bemásolja magát a számítógépre és az ott található adatfájlokból kigyűjti az e-mail címeket, majd megkísérel különféle internetes levelezési listákat elérni, hogy címjegyzékét ezekből tovább frissítse. Az újonan megszerzett címekre azonnal tovább is küldi magát. Terjedési rutinja mellett sajnos többre is képes: kártékony programokat tölt le további weboldalakról, amiket ezután lefuttat a felhasználó számítógépén, valamint számos víruskereső és biztonságvédelmi programot megpróbál hatástalanítani és leállítani.
„A veszélyes féreg csak aktív felhasználói közreműködéssel tud szaporodni, ezért a megelőzéshez elengedhetetlen, hogy fokozottan figyeljünk az angol nyelvű e-mailekben érkező .ZIP fájlok kibontásakor. A vírus kiemelt veszélyessége miatt mindazonáltal javasoljuk a vírusadatbázis azonnali frissítését, valamint a fertőzött állomány törlését” – figyelmeztet a VirusBuster.
