101638

Bagle mit Rootkit

27.03.2006 | 16:31 Uhr |

Die Bagle-Familie besteht aus einem Geflecht verschiedener Komponenten.

Der neueste Vetreter der Bagle-Familie installiert ein Rootkit, um die Prozesse, Dateien und Registry-Einträge anderer Bestandteile zu verbergen. Zu den Mail-Würmern der Bagle-Familie gehören mittlerweile noch mehrere andere Komponenten (Trojanische Pferde), die dem Aufbau von Botnets dienen.

Mehrere Antivirus-Hersteller melden die Entdeckung neuer Bagle-Varianten. Bei F-Secure laufen sie unter dem Bezeichnungen " Bagle.GE " und " Bagle.GF ", McAfee nennt sie " W32/Bagle.ea " und bei Symantec werden sie als " W32.Beagle.DZ " bezeichnet. Die Verbreitung erfolgt Spam-artig per Mail. Wird der Anhang ausgeführt, lädt er weitere Komponenten aus dem Internet herunter.

In der Folge wird eine Kopie des Schädlings mit dem Dateinamen "hidr.exe" sowie ein Rootkit-Treiber mit dem Dateinamen "m_hook.sys" im Verzeichnis "Application Data\hidires" im Profil des angemeldeten Benutzers abgelegt. Erstellte Registry-Einträge dienen dem Laden dieser Komponenten beim Start von Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" = "Documents and Settings\%UserName%\Application Data\hidires\hidr.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook
"ImagePath" = "Documents and Settings\%UserName%\Application Data\hidires\m_hook.sys"

Der Rootkit-Treiber versteckt eine Reihe von Prozessen, Dateien und Registry-Einträgen, kann allerdings nach Angaben von F-Secure nur eine Datei pro Verzeichnis verbergen. Ferner soll er Programm-Code enthalten, der eine lange Liste von Sicherheitsprogrammen am Starten hindern soll. Dieser Code soll jedoch in der beobachteten Bagle-Variante noch nicht aktiviert sein - oder er funktioniert nicht.

Das Programm hidr.exe steuert den Rootkit-Treiber und beendet verschiedene Sicherheitsprogramme wie Antivirus-Software und Personal Firewalls. Zusammen mit weiteren Komponenten, die aus dem Internet geladen werden, hat diese Bagle-Variante, wie schon frühere, die Aufgabe, den verseuchten PC zum Teil eines Botnets zu machen.

Die Bagle-Familie besteht aus diversen Elementen mit unterschiedlichen Funktionen. Dazu zählen etwa unter anderem auch Komponenten zum Mail-Versand sowie Web-Server, Paket-Filter, Form-Grabber und Adressensammler, die im Botnet zusammen wirken. Sie werden zum Teil als "Glieder", "Mitglieder", "Formglieder" oder "Fantibag" bezeichnet. Scott Molenkamp und Hamish O’Dea von Computer Associates haben in einem Vortrag auf der Virus-Bulletin-Konferenz 2005 das Geflecht der Bagle-Botnets entwirrt und die Zusammenhänge dargestellt.

0 Kommentare zu diesem Artikel
101638