Nieuw Bagle-virus werkt volgens stappenplan

  • Bron (c) 2005, VirusAlert

Computer Associates (CA) heeft een nieuwe variant van het Bagle-virus ontdekt. Deze heeft een geheel eigen aanvalsmethode. Het virus werkt volgens een stappenplan: eerst besmetten, dan ontwapenen, en tenslotte de getroffen computer misbruiken.

Omdat de worm zo anders is dan vorige Bagle-varianten, heeft hij van Computer Associates een eigen naam gekregen: Glieder.

Win32.Glieder verspreidt zich volgens de gangbare methode, namelijk via e-mail. Wanneer iemand het het attachment (het virus) opent, stuurt Glieder zichzelf door naar iedereen in het adresboek.

Vervolgens downloadt de worm een trojan genaamd Win32.Fantibag en installeert het deze op de getroffen pc. Deze trojan is ontworpen om updates van antivirus-programma’s tegen te houden. Bovendien blokkeert het Microsofts update-website (windowsupdate.microsoft.com).

Als het virus de computer op deze manier heeft geïsoleerd zodat het onmogelijk is het virus snel te verwijderen, gaat het over tot stap drie.

Het installeert nog een trojan, genaamd Win32.Mitglieder. Deze schakelt firewalls en antivirus-software uit, waardoor de computer nog kwetsbaarder wordt. Vervolgens schakelt het de pc aan een botnet.

Een botnet is een netwerk van (vaak duizenden) door hackers gekaapte computers. Samen hebben deze pc’s een behoorlijke rekenkracht, waarmee ze bijvoorbeeld in opdracht spam kunnen vesturen of DoS-aanvallen kunnen uitvoeren. Botnets worden vaak verhuurd aan spammers en hackers.

Volgens CA verspreidt het virus zich behoorlijk snel. Wie nog niet is getroffen, wordt aangeraden snel zijn antivirus-software te updaten.