Ein neuer Bagle-Wurm macht die Runde
Bereits mit älteren Bagle-Varianten infizierte Rechner laden eine neue Version des Schädlings herunter und verbreiten diese Spam-artig per Mail.
Um die Schädlinge aus der Bagle-Familie schien es seit einiger Zeit ruhig geworden zu sein. Mutmaßlich haben sich die Virenprogrammierer lediglich eine kreative Pause gegönnt oder an neuen Versionen gearbeitet, denn nun ist ein neues Mitglied dieser Schädlingsfamilie in den Mailboxen aufgetaucht.
Wie die Virenforscher des finnischen Antivirus-Herstellers F-Secure in ihrem Weblog berichten, haben die Hintermänner des Schädlings einige bereits bekannte Download-Adressen reaktiviert und dort eine neue Bagle-Version bereit gestellt. Rechner, die bereits mit älteren Bagles infiziert sind, laden sich die neue Variante herunter und beginnen damit sie per Mail zu versenden.
Die Mails kommen mit einem Anhang, dessen Dateinamen wie schon früher das Thema "Preisliste" variieren, zum Beispiel "price_list30-Nov-2006.zip". Die Mails enthalten ferner ein GIF-Bild, das ein zum Entpacken der etwa 180 KB großen, verschlüsselten ZIP-Dateien benötigtes Passwort zeigt.
Wer die ZIP-Datei auspackt und die enthaltene EXE-Datei startet, bekommt nicht viel sehen. Zur Tarnung seiner Aktivitäten öffnet Bagle eine Editor-Fenster und zeigt darin eine Fehlermeldung an. Im Hintergrund versucht der Schädling jedoch Sicherheitsprogramme wie Virenscanner und Firewalls lahm zu legen. Er installiert außerdem ein Rootkit vom Typ SSDT. Hat Bagle sich einmal eingenistet, lädt er weitere Schädlinge herunter und versendet neue Mails.
Erkennung durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Bagle.GC |
| Avast! | Win32:Beagle-NG [Wrm] |
| AVG | --- |
| Bitdefender | Win32.Bagle.GT@mm |
| ClamAV | Worm.Bagle.Gen-7 |
| Command AV | W32/Mitglieder.UW |
| Dr Web | Win32.HLLM.Beagle.1 |
| eSafe | Trojan/Worm [100] (suspicious) |
| eTrust-INO | --- |
| eTrust-VET | Win32/Bagle.EK |
| Ewido | --- |
| F-Prot | W32/Mitglieder.UW |
| F-Secure | Email-Worm.Win32.Bagle.gr |
| Fortinet | suspicious (W32/Bagle.GR@mm) * |
| Ikarus | Trojan-PSW.Win32.Kapod.gen |
| Kaspersky | Email-Worm.Win32.Bagle.gr |
| McAfee | --- (W32/Bagle.gen) * |
| Microsoft | --- |
| Nod32 | NewHeur_PE (probably unknown virus) |
| Norman | W32/Bagle.QF |
| Panda | Suspicious file |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | W32/Bagle-QS |
| Symantec | --- (W32.Beagle.FF@mm) |
| Trend Micro | WORM_BAGLE.ME |
| UNA | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Worm.Bagle.GC |
| G Data AVK ** | Email-Worm.Win32.Bagle.gr |
Quelle: AV-Test, Stand: 01.12.2006, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
