Uma nova variante do Bagle tem chegado, nas últimas horas, a diversas caixas de correio de todo o mundo. O Bagle.AQ - também conhecido por Bagle.AM e WORM_BAGLE.AC - tem anexado um arquivo em formato ZIP de aproximadamente 6 Kb que contém um ficheiro html presumivelmente inofensivo que, quando acedido, lança um ficheiro EXE, explicam as empresas de segurança.



O Bagle.AQ é a continuação de uma larga saga de códigos maliciosos que começou há sete meses atrás e que, além de usar métodos de engenharia social para tentar enganar os utilizadores, combina diferentes formas de infecção.



A rapidez de propagação da nova variante tem sido mais elevada do que o esperado, o que já levou diferentes empresas de segurança a aumentarem os seus níveis de alerta. Brasil, Canadá, França, Holanda, Formosa e Estados Unidos, são os países onde se nota uma maior incidência do novo worm, e mais entre os utilizadores domésticos do que nos utilizadores empresariais.



Até ao momento, todas as mensagens reportadas como infectadas com o Bagle.AQ dizem que o campo de assunto aparece vazio, o corpo da mensagem contém o texto "price" ou "new price", e como arquivo adjunto há diferentes variantes que têm em comum a cadeia "price": "price.zip", "price2.zip", "price_new.zip", "price_08.zip", "08_price.zip", "newprice.zip", "new_price.zip" o "new__price.zip".



Tal como as variantes anteriores, o worm deixa uma componente de backdoor que permite ao seu autor controlar as máquinas infectadas. Comum é igualmente o facto de só ameaçar máquinas Windows.



Além do correio electrónico, o Bagle.AQ também se pode propagar através das redes peer-to-peer. Os ficheiros infectados com o worm, mas disfarçados de jogos ou outras aplicações, são copiados para os directórios de partilha P2P das máquinas comprometidas.



Notícias Relacionadas:

2004-07-20 - Especialistas detectam nova versão do Bagle e temem réplicas nos próximos dias

2004-07-08 - Duas novas versões do Bagle dão acesso ao código fonte