Najnowsze warianty robaka Bagle, oznaczone zostały przez firmę ESET jako Win32/Bagle.DC oraz Win32/Bagle.DD. Szczyt aktywności w rozsyłaniu nowych wersji robaka przypadł na poniedziałkowe godziny wieczorne czasu polskiego, kiedy to rozsyłanych było około 2 tysiące zainfekowanych przesyłek na godzinę, najprawdopodobniej przez sieci zakażonych komputerów „zombie”. Od momentu ich pojawienia nowe warianty robaka wykrywane były heurystycznie przez stosowaną w programie NOD32 technologię ThreatSense, jeszcze przed aktualizacją bazy sygnatur.
Obydwa warianty robaka rozsyłane są w wiadomościach, które zawierają puste pole „temat” i w tekście wiadomości mają zwykle tylko jedno słowo – „info”, „texte”. W załączniku umieszczony jest plik ZIP nazwany „Info_prices.zip”, „max.zip”, „sms_text.zip”, „Business_dealing.zip” lub „Business.zip”. Po otwarciu załącznika Win32/Bagle.DC zostawia swoją kopię w postaci \winnt\system32hloader_exse.exe oraz bibliotekę \winnt\system32\hleader_dll.dll, a następnie próbuje pobrać z sieci kolejne pliki – jednak rozpoznane w poniedziałek adresy URL nie działały.
Użycie do rozsyłania wirusa sieci zakażonych komputerów („botnetów”) umożliwiło nowej odmianie wirusa bardzo szybkie rozprzestrzenianie się.
– Przy tak nagłych atakach, nawet najszybsze reakcje firm antywirusowych przygotowujących nowe szczepionki nie wystarczają, gdyż już w pierwszych godzinach infekowana jest bardzo duża ilość komputerów. – komentuje Anna Piechocka z DAGMY, partnera firmy ESET w Polsce. – Dlatego właśnie tak ważne jest rozwijanie technologii proaktywnych, takich jak rozwijana przez ESET-a i stosowana w NOD32 technologia ThreatSense, będąca w stanie zablokować nowe zagrożenie jeszcze przed przygotowaniem szczepionki. – dodaje Anna Piechocka.