Bagle tiếp tục tung ra biến thể mới

Phiên bản Y phát tán qua e-mail và mạng chia sẻ file, mở cửa hậu trên các máy bị nhiễm và biến những PC này thành những computer ma (zombie) phục vụ tấn công DDoS và phát tán spam. Hầu hết các công ty phần mềm bảo mật đều đánh giá virus mới ở cấp nguy cơ trung bình.

F-Secure (Phần Lan) cho biết biến thể Y cố gắng khoan thủng một số ứng dụng an ninh khác nhau cũng như các hoạt động liên quan đến sâu NetSky. Biểu tượng file thực hiện trong những e-mail mang virus trông giống như chùm quả anh đào thường thấy trên các máy đánh bạc quay 3 ô hình. Bagle.Y có thể đính kèm bản sao của nó dưới dạng file thực hiện với đuôi COM, EXE, SCR và CPL, hoặc dưới dạng kho tư liệu archive ZIP có password bảo vệ, thậm chí là file VBS hay HTA. Sự đa dạng về cơ chế phát tán này là điểm khác biệt lớn nhất giữa phiên bản Y và những biến thể Bagle trước đây. Nó còn đính kèm hình ảnh một cô gái vào nội dung mail để tạo ra một vỏ bọc hợp lý. Theo ghi nhận của F-Secure, có ba loại ảnh cô gái khác nhau được virus sử dụng.

Trong khi đó, theo thông báo của Network Associates, biến thể mới nhất của họ Bagle là phiên bản Z. Tác giả của virus này viết hẳn một bài thơ cho vào phần đính kèm của e-mail. Theo Vincent Gullotto, Phó giám đốc phụ trách trung tâm phản ứng nhanh của Network Associates, Bagle.Z phát tán không nhanh. “Tôi không cho rằng biến thể này sẽ tồn tại lâu”, chuyên gia này dự báo. “Tuy nhiên, virus cũng đã có những bước tiến ban đầu đáng chú ý khi mà nó đính kèm bản sao vào một file control panel. Đây là một file thực hiện mà những tác giả virus Bagle trước không sử dụng. Phương thức này cho phép nó xâm nhập vào một số môi trường khác nhau”.

Biến thể Z là trường hợp mới nhất trong đợt virus kéo dài mà các chuyên gia cho rằng nằm trong khuôn khổ một cuộc đối đầu giữa hai nhóm hacker Bagle và NetSky (còn gọi là SkyNet). Trong một phiên bản gần đây, tác giả của NetSky tuyên bố sẽ tiếp tục tung ra những phiên bản mới chừng nào sâu Bagle còn sinh sôi. Tuy nhiên, khi mà NetSky đã “đẻ” thêm tới 6 biến thể mới trong tháng 4 này thì Bagle lại phát tán rất ít phiên bản mới. Giới chuyên gia virus cho rằng mã nguồn của NetSky đã được công bố rộng rãi trên Internet, vì thế việc xuất hiện nhiều biến thể của loại sâu này vừa qua là tác phẩm của hơn một người.

Bài thơ trong e-mail virus Bagle.Z chỉ có 4 câu tiếng Anh:

"Unique people make unique things
That things stay beyond the normal life and common understanding
The problem is that people don't understand such wild things,
Like a man did never understand the wild life."

Việc gắn thơ vào virus không phải là kỹ thuật mới. Vào đầu những năm 80 của thế kỷ trước, virus Apple II đầu tiên đã có khả năng hiển thị một bài thơ theo chu kỳ 50 lần khởi động của máy tính.

Như thường lệ, người sử dụng được khuyến cáo nên giảm thiểu nguy cơ nhiễm virus bằng cách không mở phần đính kèm của những bức thư không rõ nguồn gốc. Nâng cấp file chữ ký diệt virus cũng là một biện pháp quan trọng đối với người dùng Windows vì máy Mac và Linux không bị tấn công.