Nieuwe versie Bagle-virus nodigt uit tot namaak

Het Bagle-virus dook voor het eerst in januari op. In de eerste maanden van dit jaar zorgde de worm, samen met het nog venijniger Netsky-virus, voor flinke overlast. Grote aantallen pc's raakten besmet. Bij providers kwamen miljoenen exemplaren van het virus binnen.

Er verschenen zoveel varianten van de Bagle-worm dat de virusbestrijders die bij de naamgeving van een virus telkens de volgende letter in het alfabet kiezen (Bagle.A, Bagle.B et cetera), weer van voren af moesten beginnen: Bagle.AA, Bagle.AB et cetera.

De laatste maanden leek de rust echter te zijn weergekeerd. Door de nieuwe Bagle-versie (AD), die dit weekend voor het eerst opdook, zou daar wel eens verandering in kunnen komen.

Bagle.AD zet in sommige gevallen namelijk ook een zip-bestand met daarin de broncode (geschreven in assembler) op de harde schijf. Dat maakt het eenvoudiger om zelf een nieuwe Bagle-versie te maken.

Nieuwe uitbraak

Volgens virusbestrijder McAfee is het relatief eenvoudig om bijvoorbeeld het door het virus gebruikte poortnummer (nu nog 1234) te veranderen. Bagle.AD zet deze poort open, zodat het mogelijk is om een besmette pc te gebruiken voor het versturen van spam of voor een internetaanval.

"Ik ben er zeker van dat dit zal leiden tot een nieuwe uitbraak van Bagle-varianten", zo verklaart Mikko Hyppönen van het antivirusbedrijf F-Secure tegenover ZDNet.

Tegelijkertijd maakt de vrije beschikbaarheid van de broncode het volgens Hyppönen makkelijker om te achterhalen wie verantwoordelijk is voor de Bagle-virussen. Het commentaar in de code en de opbouw ervan kunnen wellicht leiden naar de maker.

Daar staat tegenover dat de auteur van het Bagle-virus - als hij ooit wordt gearresteerd - kan zeggen dat hij niet de enige is die de code op zijn pc heeft staan. Door de nieuwe Bagle-versie zijn er straks immers talloze mensen die de code in bezit hebben.