Ableger des Bagle-Wurms durchstreifen das Internet

Alle Bagle-Würmer versenden sich per E-Mail mit gefälschten Absenderadressen, wechselnden Betreffzeilen und Nachrichtentexten, wobei sich auch die Dateinamen der Anhänge ändern, worin der Wurm-Code schlummert. Die ausführbare Wurm-Datei wird entweder direkt als Exe-, Scr- oder Zip-Datei an die E-Mail gehangen oder in Form eines Zip-Archivs versendet. Bei der direkten Versandart (Varianten F und G) zeigt der Wurm diese ausführbaren Daten fälschlicherweise mit einem Verzeichnis-Icon an. Aber auch die Exe-Datei in den Zip-Archiven (Bagle C, D und E) werden mit einem anderen Dateiart-Icon dargestellt, um so potenzielle Opfer in Sicherheit zu wiegen. So können die in dem Zip-Archiv liegenden Dateien etwa das Icon einer Textdatei, eines Excel-Dokuments oder eines Verzeichnisses tragen, obgleich es sich um eine Exe-Datei handelt. Der Wurm setzt für seine Verbreitung auf die Neugierde der Opfer.

Wird der Wurm-Code manuell geöffnet, nistet er sich so in einem Windows-System ein, dass der Schädling bei jedem Neustart des Betriebssystem geladen wird. Um eine Bekämpfung des Unholds zu erschweren, werden zahlreiche Viren-Scanner oder andere Sicherheits-Software automatisch beendet. Auf einem befallenen System durchsuchen die Würmer verschiedene Dateiarten nach E-Mail-Adressen und versenden sich an diese über eine eigene SMTP-Engine. Als weiteren Verbreitungsweg kopiert sich der Wurm in Verzeichnisse, die wömöglich zum Datenaustausch in Peer-to-Peer-Netzwerken verwendet werden.

Als weitere Schadroutine öffnet der Wurm den TCP-Port 2745 des befallenen Systems und versucht darüber Software auf den infizierten Rechner zu übertragen. Alle jüngst aufgetauchten Bagle-Würmer stellen zu einem festgelegten Termin ihre Aktivitäten ein. So beenden Bagle.C und Bagle.D am 14. März 2004 ihre Vermehrung, während die drei übrigen Varianten E, F und G am 25. März 2004 ihren Dienst einstellen.

Die Anbieter von Antiviren-Software stellen bereits aktualisierte Virensignaturen zum Download bereit.