Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 7/6/2005
Den mail-orm, der i sidste uge blev identificeret som endnu en Bagle-variant, er mere avanceret end sine forgængere. Der er tale om tre trojanske heste snarere end en enkelt mail-orm.Flere antivirusfirmaer opfatter den som en selvstændig trojansk hest, der ikke hører til Bagle-familien. Computer Associates oplyser, at angrebet starter med, at offeret modtager en mail med den trojanske hest, som firmaet kalder Glieder.AK. Den henter programfiler fra en liste af webservere. Desuden forsøger den at standse forskellige sikkerhedsprogrammer, der kører på den inficerede pc.
En af de filer, som den henter over nettet, er den trojanske hest Fantibag.A. Den forhindrer pc'en i at kommunikere med antivirusfirmaers websteder og Windows Update. Dermed kan offeret ikke opdatere sin pc og fjerne infektionen.
Herefter hentes en tredje trojansk hest, Mitglieder.CT. Den åbner en bagdør af typen proxyserver, der lytter på port 38884. Bagdøren kan bruges til at opdatere den trojanske hest eller for eksempel installere en mailserver på pc'en. Den kan så bruges til at udsende spam med.
Øjensynlig indeholder ingen af de tre trojanske heste en funktion til at sende programmet videre via e-mail. De kan altså kun spredes ved, at bagmændene udsender dem til potentielle ofre - sandsynligvis gennem pc'er, der allerede er inficeret.