18802

Ein neuer Bagle-Wurm macht die Runde

01.12.2006 | 15:13 Uhr |

Bereits mit älteren Bagle-Varianten infizierte Rechner laden eine neue Version des Schädlings herunter und verbreiten diese Spam-artig per Mail.

Um die Schädlinge aus der Bagle-Familie schien es seit einiger Zeit ruhig geworden zu sein. Mutmaßlich haben sich die Virenprogrammierer lediglich eine kreative Pause gegönnt oder an neuen Versionen gearbeitet, denn nun ist ein neues Mitglied dieser Schädlingsfamilie in den Mailboxen aufgetaucht.

Wie die Virenforscher des finnischen Antivirus-Herstellers F-Secure in ihrem Weblog berichten, haben die Hintermänner des Schädlings einige bereits bekannte Download-Adressen reaktiviert und dort eine neue Bagle-Version bereit gestellt. Rechner, die bereits mit älteren Bagles infiziert sind, laden sich die neue Variante herunter und beginnen damit sie per Mail zu versenden.

Die Mails kommen mit einem Anhang, dessen Dateinamen wie schon früher das Thema "Preisliste" variieren, zum Beispiel "price_list30-Nov-2006.zip". Die Mails enthalten ferner ein GIF-Bild, das ein zum Entpacken der etwa 180 KB großen, verschlüsselten ZIP-Dateien benötigtes Passwort zeigt.

Wer die ZIP-Datei auspackt und die enthaltene EXE-Datei startet, bekommt nicht viel sehen. Zur Tarnung seiner Aktivitäten öffnet Bagle eine Editor-Fenster und zeigt darin eine Fehlermeldung an. Im Hintergrund versucht der Schädling jedoch Sicherheitsprogramme wie Virenscanner und Firewalls lahm zu legen. Er installiert außerdem ein Rootkit vom Typ SSDT. Hat Bagle sich einmal eingenistet, lädt er weitere Schädlinge herunter und versendet neue Mails.

Erkennung durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

Worm/Bagle.GC

Avast!

Win32:Beagle-NG [Wrm]

AVG

---

Bitdefender

Win32.Bagle.GT@mm

ClamAV

Worm.Bagle.Gen-7

Command AV

W32/Mitglieder.UW

Dr Web

Win32.HLLM.Beagle.1

eSafe

Trojan/Worm [100] (suspicious)

eTrust-INO

---

eTrust-VET

Win32/Bagle.EK

Ewido

---

F-Prot

W32/Mitglieder.UW

F-Secure

Email-Worm.Win32.Bagle.gr

Fortinet

suspicious (W32/Bagle.GR@mm) *

Ikarus

Trojan-PSW.Win32.Kapod.gen

Kaspersky

Email-Worm.Win32.Bagle.gr

McAfee

--- (W32/Bagle.gen) *

Microsoft

---

Nod32

NewHeur_PE (probably unknown virus)

Norman

W32/Bagle.QF

Panda

Suspicious file

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

W32/Bagle-QS

Symantec

--- (W32.Beagle.FF@mm)

Trend Micro

WORM_BAGLE.ME

UNA

---

VBA32

---

VirusBuster

---

WebWasher

Worm.Bagle.GC

G Data AVK **

Email-Worm.Win32.Bagle.gr

Quelle: AV-Test , Stand: 01.12.2006, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
18802