253855

Eine neue Bagle-Welle geht um

03.11.2005 | 13:56 Uhr |

Mindestens sechs neue Varianten von Würmern und Trojanische Pferden werden verbreitet.

Mehrere Antivirus-Hersteller melden eine neue Welle von "Bagles". Bei dieser Familie handelt es sich zum Teil um Würmer, die sich selbst per Mail weiter verbreiten, zum Teil um Trojanische Pferde, die Spam-artig verschickt werden.

Soweit es sich bei einer Variante um einen Wurm handelt, wird er bei den meisten Antivirus-Herstellern der Bagle-Familie zugeordnet. Die Trojanischen Pferde hingegen werden von einigen Virenscannern als "Mitglieder" oder "Glieder" gemeldet, andere rechnen sie ebenfalls der Bagle-Familie zu.

Die Spam-artig verbreiteten Trojanischen Pferde sollen weitere Varianten der Schädlinge von verschiedenen Servern im Internet herunterladen. Dazu enthalten sie eine Liste mit URLs. Diese Schädlinge senden dann wiederum neue Bagle-Varianten Spam-artig per Mail an Adresslisten, die sie ebenfalls aus dem Internet laden - und nicht wie klassische Würmer auf der lokalen Festplatte suchen.

Die Mails kommen häufig ohne Betreff und enthalten nur einen sehr kurzen Text, zum Beispiel "texte". Im Anhang befindet sich eine ZIP-Datei, mit Namen wie "The_new_prices.zip", "Info_Prices.zip", "text_sms.zip", "max.zip", "Business.zip" und verschiedene andere. Darin stecken EXE-Dateien mit Namen wie zum Beispiel "1.exe", "loader.exe" oder auch "t_535475.exe".

Packt der Anwender die ZIP-Datei aus und startet die EXE, kopiert sich diese mit je nach Bagle-Variante unterschiedlichen Namen ins Windows- oder System32-Verzeichnis, legt eine DLL an und trägt sich in die Registry ein. Eine von McAfee als " W32/Bagle.dk " bezeichnete Variante benutzt die Dateinamen "hloader_exe.exe" und "hleader_dll.dll". Der Registry-Eintrag lautet dann:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
auto_hloader_key = c:\winnt\system32\hloader_exe.exe

Diese Datei wird beim Starten von Windows ausgeführt und lädt dann die DLL in den laufenden Prozess des Windows Explorers. Sie enthält eine Liste mit Adressen von Web-Servern, auf denen nach Updates Ausschau gehalten wird. Wird so eine neue Variante des Schädlings aktiviert, beginnt ein neuer Zyklus.

0 Kommentare zu diesem Artikel
253855