163168

Bagle-Net reloaded

24.11.2005 | 16:12 Uhr |

Die Botnet-Betreiber starten eine neue Welle von Spam-Mails mit virulentem Anhang.

Seit gestern Nachmittag werden wieder einmal massenhaft Mails verschickt, die mehrere neue Varianten von Trojanischen Pferden aus der Bagle-Familie enthalten. Die Mails werden Spam-artig über Botnets versandt. Die mitgeschickten Bagles laden weitere Schädlinge herunter.

Die Mails kommen meist mit einem völlig nichtssagenden Betreff und Text sowie mit gefälschter Absenderangabe. Der Betreff wie auch der Dateiname der angehängten ZIP-Datei besteht meist aus einem Vornamen. Die ZIP-Datei enthält eine etwa neun KB große EXE-Datei mit Namen wie "12.exe" oder "123.exe".

Wird diese Programmdatei ausgeführt, kopiert sie sich als "anti_troj.exe" oder "anti_trojan.exe" in das System-Verzeichnis von Windows (meist C:\Windows\System32). Für diese Datei wird ein Registry-Eintrag erstellt, der dafür sorgen soll, dass der Schädling beim Start von Windows geladen wird, zum Beispiel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
anti_troj = c:\windows\system32\anti_troj.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
anti_troj = c:\windows\system32\anti_troj.exe

Das Trojanische Pferd nimmt dann Kontakt zu verschiedenen Servern auf, um eine PHP-Seite zu laden. Vermutlich meldet es so die IP-Adresse des infizierten Rechners. Dieser PC wird nun zu einem so genannten "Zombie", also zum Teil eines Botnets aus fremdgesteuerten Rechnern. Diese helfen den Botnet-Betreibern beim Verbreiten weiterer Malware oder beim Geldverdienen. Die Botnets werden gerne vermietet, zum Beispiel an Spammer, die darüber ihre Werbe-Mails versenden.

Die Virenforscher bei Kaspersky Labs berichten in ihrem Weblog über eine arbeitsreiche Nacht. Sie haben fünf Downloader (Trojan-Downloader.Win32.Bagle.d - .h) und sieben Würmer (Email-Worm.Win32.Bagle.eo - .eu) aus der Bagle-Familie identifiziert und untersucht. Die meisten Antivirus-Hersteller haben mittlerweile Updates bereits gestellt, mit denen die neuen Schädlinge erkannt werden.

Antivirus

Bagle 1

Bagle 2

AntiVir

TR/Bagle.gen

TR/Bagle.gen

Avast!

Win32:Beagle-FR [Wrm]

Win32:Beagle-FR [Wrm]

AVG

I-Worm/Bagle

I-Worm/Bagle

BitDefender

Trojan.Bagle.BK

Trojan.Bagle.BK

ClamAV

Worm.Bagle.Gen-10

Worm.Bagle.CD-1

Command AV

W32/Mitglieder.GJ

W32/Backdoor.HDU

Dr Web

Win32.HLLM.Beagle.9219

Win32.HLLM.Beagle.9219

eSafe

Win32.Bagle.da

Win32.Bagle.da

eTrust-INO

Win32/Bagle.9760!Downloader

-

eTrust-VET

Win32.Glieder.CI

Win32.Glieder.CJ

F-Prot

W32/Mitglieder.GJ

W32/Backdoor.HDU

F-Secure

Trojan-Downloader.Win32.Bagle.g

Trojan-Downloader.Win32.Bagle.h

Fortinet

W32/Mitglieder.GK!tr

W32/Mitglieder.GJ-dldr

Ikarus

Email-Worm.Win32.Bagle.EI

Email-Worm.Win32.Bagle.gen

Kaspersky

Trojan-Downloader.Win32.Bagle.g

Trojan-Downloader.Win32.Bagle.h

McAfee

W32/Bagle.gen

W32/Bagle.gen

Nod32

Win32/Bagle.DR worm

Win32/Bagle.DR worm

Norman

W32/Mitglied.NR

W32/Mitglied.NS

Panda

Trj/Mitglieder.GB

Trj/Mitglieder.GB

Sophos

Troj/BagleDl-AI

Troj/BagleDl-AK

Symantec

Trojan.Lodear.D

-

Trend Micro

TROJ_BAGLE.AH

TROJ_BAGLE.AH

0 Kommentare zu diesem Artikel
163168