La nuova versione del worm, che si autoinvia agli indirizzi e-mail del PC infettato, è classificato con un livello di rischio medio-basso
3 settembre 2004 Un’altra versione del worm Bagle si è diffusa questa settimana, ma gli esperti di sicurezza non lo ritengono preoccupante: McAfee, infatti, lo ha classificato “a bassa minaccia” e Symantec gli ha attribuito il valore di pericolosità 2 su 5.
Il virus, che utilizza la posta elettronica per diffondersi, ha attaccato i software di sicurezza di un PC e poi ha cercato di scaricare il malware da 125 siti. Fortunatamente il virus non si è diffuso in maniera massiccia perché la maggior parte dei siti utilizzati come “ponte” non erano attivi.
L’ultima versione di Bagle ricorda molto la prima versione del programma, che ha fatto la sua comparsa lo scorso gennaio e si presenta via e-mail come attachment foto.zip. Aprendo il file .zip e attivando il file HTML o il file del programma si propaga l’infezione, a meno di non disporre di un antivirus aggiornato.
Tecnicamente Bagle crea la seguente chiave HKEY_CURRENT_USER\SOFTWARE\Microsoft\ nel registro di sistema e aggiunge il valore
Windows\CurrentVersion\Ru1nerthgdr"="%System%\windll.exe.
Se Bagle non riesce a scaricare altre istruzioni dai siti “ponte”, sarà in grado solo di attentare alla sicurezza del PC su cui si è installato e di replicarsi nelle cartelle e nelle directories. Se invece non trova alcun sistema di sicurezza a bloccarlo, Bagle si autoinvierà a tutti gli indirizzi mail che troverà sul computer, evitando quelli che appartengono alle maggiori società di software, linux e provider di sicurezza, una tattica che permette a questo tipo di virus di evitare di essere intercettati.
