Le varianti O e N di Bagle hanno diverse caratteristiche in comune e le più significative sono le seguenti:
- Si diffondono attraverso i programmi di condivisione di file P2P e mediante la posta elettronica in un messaggio scritto in inglese, con caratteristiche variabili, che contiene un file allegato (nella variante O ha un'icona simile a quella del Notepad, mentre nella N l'icona sembra quella del font True Type).
- Colpiscono file PE (Portable Executable), aumentando la loro grandezza (nella variante O l'incremento è pari a 44 KB mentre nella N raggiunge i 21 KB)
- Entrambe aprono una backdoor attraverso la posta TCP 2556
- Terminano i processi corrispondenti a diversi programmi, tra i quali antivirus, firewall, tool di monitoraggio del sistema e altri processi legati a varianti precedenti di Bagle e Netsky.
- Si eseguono solo se la data del sistema è minore o uguale al 31 dicembre del 2005
Nello specifico ci sono alcuni elementi che differenziano le due nuove varianti di Bagle:
- Bagle.O contiene un testo nel suo codice che non appare mai e presenta l'immagine di una farfalla
- Bagle.N è un codice maligno polimorfico.
- La loro grandezza quando sono compressi o decompressi: quella di Bagle.Oè rispettivamente di 23558 e 44189 byte mentre quella di Bagle è di 20650 e 38570 byte.
Le altre tre varianti di Bagle sono la Q, la R e la S. La prima e l'ultima danneggiano i file. Bagle.Q, inoltre, cerca di scaricare un file da Internet per poi eseguirlo nel pc . Secondo i dati di PandaLabs, questa variante ha avuto un'ampia diffusione.
Terminiamo questo rapporto settimanale con le due nuove varianti N e O di Netsky. Si inviano per posta elettronica, utilizzando il loro stesso motore SMTP, a tutti gli indirizzi che trovano nei file che hanno determinate estensioni. A sua volta, nel computer danneggiato, creano diversi file - alcuni di questi in formato MIME (Multipurpose Internet Mail Extentions) e eliminano le entrate appartenenti a vari worm, tra i quali Mydoom e Bagle. Inoltre, generano un mutex per evitare che ci siano esecuzioni allo stesso tempo.
Le due varianti si differenziano essenzialmente sul testo del messaggio nel quale sono inviati, sui file che copiano per colpire il computer e sull'entrata del registro che generano.
