Analitycy z laboratorium antywirusowego firmy Kaspersky Lab wykryli kolejną wersję robaka Bagle - Email-Worm.Win32.Bagle.bn. Autor tych szkodników jest wyjątkowo aktywny od początku 2005 roku - nowe wersje pojawiają się co kilka dni. Ostatnia modyfikacja została dwukrotnie masowo rozesłana. Ostatnie "spamowanie" miało prawdopodobnie na celu podtrzymanie funkcjonowania botnetów składających się z zainfekowanych komputerów.

Bagle.bn dociera do komputerów jako załącznik zainfekowanych wiadomości e-mail, która nie posiada ani tematu, ani treści. Załącznik ma postać pliku ZIP o rozmiarze około 19 KB. Archiwum zawiera plik EXE o nazwie 19_04_2005.exe.

Gdy użytkownik uruchomi plik wykonywalny robak tworzy w tymczasowym folderze systemu Windows dokument tekstowy. Jego nazwa rozpoczyna się od symbolu tyldy (~) i posiada rozszerzenie txt. Pozostała część nazwy składa się z losowych znaków. Do otwarcia tego pliku Bagle.bn wykorzystuje domyślny edytor tekstu (najczęściej jest to Notatnik - notepad.exe) - na ekranie zainfekowanego komputera pojawia się słowo "Sorry".

Bagle rozpakowuje ze swojego kodu plik winshost.exe, zapisuje go w folderze \Windows\System i tworzy własne wpisy w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego.

Bagle.bn usuwa z rejestru systemowego szereg wpisów, co może utrudniać uruchamianie pewnych aplikacji antywirusowych. Ponadto robak zamyka aktywne procesy związane z programami antywirusowymi i zaporami ogniowymi, a także nadpisuje plik hosts, co uniemożliwia użytkownikowi zainfekowanego komputera odwiedzanie stron WWW producentów oprogramowania antywirusowego.

Na szczęście Bagle.bn nie został wyposażony w procedurę samodzielnego rozprzestrzeniania. Nie oznacza to jednak, że jego autor nie będzie dalej rozsyłał kopii szkodnika przy użyciu technik spamowych.

Najskuteczniejszym zabezpieczeniem przed atakami szkodników przy wykorzystaniu wiadomości typu spam jest wykorzystywanie wielosilnikowego rozwiązania Secure Mail Intelligence! (SMI!), które dzięki 3 silnikom antyspamowym i technologii wykrywania znanych i nieznanych wirusów jest w satnie zapewnić pełną ochronę serwera.