46450

Neue Bagle-Variante im Umlauf

10.08.2004 | 13:32 Uhr |

Antivirenspezialisten warnen vor einer neuen Bagle-Variante, die mit einem Trojanischen Pferd ausgestattet ist.

Diverse Antivirenhersteller warnen vor einer neuen Bagle-Variante, die derzeit verstärkt im Umlauf ist. Die Malware kommt diesmal mit einem Trojanischen Pferd im Gepäck.

Bagle.AQ verbreitet sich klassisch per Mail über die eigene SMTP-Routine. Die Bezeichnung des Attachements variiert laut H+BEDV zwischen 08.price.zip, new_price.zip, newprice.zip, price.zip, price2.zip, price_08.zip sowie price_new.zip.

In der Zip-Datei sind eine HTML- und eine EXE-Datei enthalten. Ein Doppelklick auf die HTML-Datei startet die EXE-Datei und installiert somit das Trojanische Pferd. Dieses versucht dann unverzüglich, einige Prozesse zu stoppen ( Infos hier ) und weitere Bestandteile von diversen Web-Seiten herunter zu laden (Hinweis: Bei Trend Micro wird Bagle.AQ Bagle.AC genannt).

Der Wurm kommuniziert über UDP und TCP Port 80. Wird das Trojanische Pferd ausgeführt, erstellt er folgende Dateien:

%SystemDIR%WINdirect.exe oder %SystemDIR%_dll.exe

Zudem werden der Windows Registry bestimmte Einträge hinzugefügt.

Der Wurm durchsucht die lokalen Festplatten nach Mail-Adressen und verschickt sich automatisch weiter. Um sich vor einer Infektion zu schützen gilt: Klicken Sie niemals auf den Anhang einer Mail, wenn Sie den Absender nicht kennen. Und falls es sich beim Absender um eine bekannte Person handeln sollte, stellen Sie sicher, dass diese Ihnen die Mail wirklich geschickt hat und sie nicht automatisch von einem Wurm generiert wurde. Daneben empfehlen wir den Einsatz einer Antiviren-Software-Lösung.

Betroffen sind Anwender von Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003.

0 Kommentare zu diesem Artikel
46450