189243

Erneute Bagle-Schwemme

20.09.2005 | 13:48 Uhr |

Eine neue Welle von Trojanischen Pferden aus der Bagle-Familie wird Spam-artig verbreitet.

Seit Montag Nachmittag werden wieder massenhaft Mails verbreitet, die verschiedene neue Varianten von Trojanischen Pferden aus der "Bagle"-Familie enthalten. Antivirus-Hersteller unterscheiden je nach Zählweise bis zu acht unterschiedliche Varianten, die sich meist nicht selbst ausbreiten, sondern Spam-artig per Mail verschickt werden. Die Mails kommen überwiegend ohne Betreff.

Wie bereits in der letzten Woche ( wir berichteten ) ist das Wort "price" ein gemeinsames Merkmal. Es taucht in den Mails als meist einziger Textinhalt auf und ist Bestandteil von Dateinamen im Anhang der Mail. So kann zum Beispiel ein Anhang mit dem Namen "price_09.zip", "price_new.zip" oder "price.zip" vorhanden sein, der eine Datei "price.exe" oder auch "text.exe" enthält.

Wird die Datei aus dem ZIP-Archiv ausgepackt und ausgeführt, startet sie den Windows-Editor "Notepad" mit einer leeren Datei. Diese Bagle-Variante legt die Dateien "winshost.exe" und "wiwshost.exe" im System-Verzeichnis von Windows an. Durch einen Autostart-Eintrag in der Registry wird erreicht, dass der Schädling beim Starten von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = %system%\winshost.exe

Der Schädling versucht diverse Prozesse zu beenden, die zu Sicherheitsprogrammen wie Antivirus- und Firewall-Software gehören. Er löscht auch die zugehörigen Registry-Schlüssel. Einige der Bagle-Varianten versuchen von einer langen Liste von Web-Adressen eine Datei "osa.gif" zu laden, die ungeachtet des Dateinamens eine ausführbare Datei ist.

Die meisten Antivirus-Hersteller haben kurzfristig, teils außerhalb ihres normalen Update-Zyklus aktualisierte Virensignaturen bereit gestellt, mit denen die Schädlinge erkannt werden. Weitere Informationen sind zum Beispiel bei diesen Antivirus-Herstellern erhältlich: H+BEDV (auf deutsch) und McAfee (auf englisch).

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
189243