Bagle.D, una nueva variante del gusano Bagle

a principal diferencia entre las dos versiones se debe al "mutex" que crea.

Mientras que Bagle.C creaba uno con nombre "imain_mutex", Bagle.D crea otro diferente, con el nombre "iain_m2".

Bagle.D llega al ordenador en un mensaje de correo electrónico con una dirección de correo falsa como remitente. Para reenviarse, busca en el equipo infectado otras direcciones, que las obtiene de los ficheros con extensiones .wab, .txt, .htm, .html, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb y .sht. No envía mensajes a aquellas direcciones que pertenezcan a los dominios @hotmail.com, @msn.com, @microsoft o @avp, ni a las direcciones que contengan las siguientes palabras: "local", "noreply", "postmaster@" o "root@".

El asunto es variable, y selecciona uno de una lista en la que aparecen textos como "Accounts department", "Ahtung!", "From me", "Hi!", "Registration confirmation" o "USA government abolishes the capital punishment" entre otros.

El mensaje no tiene ningún texto en el cuerpo del correo electrónico, pero sí un fichero adjunto con un icono igual a los utilizados por las hojas de cálculo de Excel, teniendo como nombre de fichero una serie de caracteres aleatorios y la extensión .ZIP, que contiene el código malicioso.

Si dicho archivo adjunto se ejecuta, la primera vez mostrará el Bloc de Notas de Windows y efectúa modificaciones en el registro para asegurar su ejecución en cada arranque del sistema.

Igual que hace Bagle.C, Bagle.D intenta conectarse a determinadas páginas web, a pesar de que estas páginas han sido desactivadas para evitar la actividad del gusano.