Bagle blijft ‘kinderen’ krijgen. Er zijn sinds zaterdag weer 5 nieuwe varianten van de worm op het internet. 2 van de 5 waren zo slim gemaakt, dat ze niet werden herkend door virusscanners en mailserver-filters.
De 5 zijn inmiddels aangeduid als C, D, E, F en G. Met de recente virusdefinities zijn de eerste 3 tegengehouden, maar de F en G glippen met gemak langs antivirussoftware op mailservers. Gelukkig zijn de laatste 2 zo geprogrammeerd, dat ze na 25 maart zichzelf uitschakelen.
F-Secure (antivirusbedrijf) laat weten dat de laatste variant in een versleuteld zip-bestand zit verborgen. Dat maakt het erg moeilijk hem te detecteren. Zip-bestanden die als bijlage bij mail zitten, worden zelden tot nooit tegengehouden door virusscanners van bedrijven en providers. Door het wachtwoord dat in het zip-bestand zit, kan de virusscanner dat bestand niet controleren.
De Bagle-worm is in staat zich via eigen e-mails te versturen net zoals het Sobig-virus. Dat kan een behoorlijke stroom besmette mailtjes worden. Bagle verstuurt zichzelf via alle e-mail-adressen die er op de harde schijf staan. Bijvoorbeeld web caches, tekstbestanden en adresboeken van e-mailprogramma’s en als zend adres wordt 1 van de gevonden accounts gebruikt.
Het virus installeert ook een remote access-programma en rapporteert de installatie aan de virusschrijver. Dit doet hij door contact op te nemen met verschillende Duitse websites en zo verzendt hij de informatie vanaf de besmette pc.