109848

Neue Bagle-Varianten

01.06.2005 | 14:40 Uhr |

Seit gestern werden wieder mehrere neue Varianten des Bagle-Wurms per Mail verbreitet.

Der Mail-Dienstleister Message Labs berichtet über eine große Zahl von Mails, die neue Varianten des Bagle-Wurms enthalten. Message Labs gibt an, innerhalb einer Stunde über 45.000 infizierte Mails ausgefiltert zu haben.

Bei den fraglichen Mails ist oft entweder der Betreff oder die Nachricht leer oder enthält sinnlose Textfragmente. Der Anhang ist meistens eine ZIP-Datei mit ganz unterschiedlichen Bezeichnungen, darunter auch Zahlen (7.zip, 8.zip, usw.). Die ZIP-Dateien enthalten eine EXE-Datei mit einem Namen, der wie ein Datum erscheint, etwa "02_05_2005.exe" oder "16_05_2005.exe". Das verwendete Dateisymbol ist das einer Textdatei.

Wird die EXE-Datei ausgeführt, legt Bagle im System-Verzeichnis die Dateien "winhost.exe" und "wiwshost.exe" an und trägt sich in die Windows-Registry ein:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winshost.exe" = "%System%\winshost.exe"

Diese Bagle-Version kann sich nicht selbsttätig ausbreiten, sie wird Spam-artig in mehreren Datei-Variationen verschickt. Kaspersky nennt diese Version " Email-Worm.Win32.Bagle.bo ". Bagle.bo enthält eine Liste von Web-Adressen, wo es nach Updates sucht. Über diese Funktion kann Bagle.bo neue Versionen von sich selbst oder andere Schädlinge installieren.

Bagle.bo löscht Registry-Einträge etlicher Antivirus-Programme, beendet deren laufende Prozesse, benennt ihre Programmdateien um und manipuliert die Datei "HOSTS", damit die Update-Server von Antivirus-Herstellern von infizierten Computern nicht mehr erreichbar sind. Auch Firewall-Software ist davon betroffen.

Im Gegensatz zu Message Labs sehen die meisten Antivirus-Hersteller allerdings keinen großen Ausbruch, da sie von der Zahl der infizierten PCs ausgehen. Sie haben jedoch schnell mit Updates reagiert oder erkennen die neuen Bagles sogar ohne Update (etwa als "Bagle.gen").

0 Kommentare zu diesem Artikel
109848