240608

Bagle-Epidemie geht weiter

25.05.2004 | 10:18 Uhr |

Im Internet ist wieder der Wurm drin. Diesmal Bagle-AA. Der Schädling vernichtet zwar augenscheinlich keine Daten auf dem PC und schleppt auch keinen Backdoor ein, er kann aber durch die von ihm verursachte Maillawine für ungewünschten Traffic sorgen.

Im Internet ist wieder der Wurm drin. Diesmal Bagle-AA . Der Schädling vernichtet zwar augenscheinlich keine Daten auf dem PC und schleppt auch keinen Backdoor ein, er kann aber durch die von ihm verursachte Maillawine für ungewünschten Traffic sorgen.

Wenn der Wurm das erste Mal gestartet wird, erscheint auf dem Monitor eine gefakte Fehlermeldung "Can't find a viewer associated with the file". Erheblich ärgerlicher: Die Malware kopiert sich unter dem Namen drvddll.exe in das Windows-Verzeichnis und legt einen Eintrag in der Registry unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\drvddll.exe = drvddll.exe an. Danach startet der Wurm bei jedem Systemstart mit.

Bei der Verbreitung geht Bagle-AA altbekannte Wege: Er kommt mit einer englischsprachigen Mail, deren Betreffzeile einen der folgenden Texte tragen kann:

  • Re: Msg reply

  • Re: Hello

  • Re: Yahoo!

  • Re: Thank you!

  • Re: Thanks :)

  • RE: Text message

  • Re: Document

  • Incoming message

  • Re: Incoming Message

  • RE: Incoming Msg

  • RE: Message Notify

  • Notification

  • Changes..

  • New changes

  • Hidden message

  • Fax Message Received

  • Protected message

  • RE: Protected message

  • Forum notify

  • Site changes

  • Re: Hi

  • Encrypted document

Der Wurm selbst steckt wie gehabt in einer angehängten Datei, die eine dieser Endungen trägt: EXE, SCR, COM, ZIP, VBS, HTA or CPL.

0 Kommentare zu diesem Artikel
240608