61488

Neue Bagle-Würmer gesichtet

13.09.2005 | 15:46 Uhr |

Mehrere nahezu identische Varianten eines neuen Bagle-Wurms sind im Umlauf.

Mehrere Antivirus-Hersteller verzeichnen eine, wenn auch bislang geringe, Verbreitung eines neuen Wurms aus der Bagle-Familie. Auch in Deutschland sind bereits Mails gesichtet worden, die den neuen Wurm enthalten.

Die Mails kommen oft ohne Betreff und enthalten nur einen sehr kurzen Text, etwa "price" oder "new price". Der Anhang besteht aus einer ZIP-Datei mit Namen wie "new_price.zip", "price_09.zip" oder ähnlich. Die ZIP-Datei enthält den Wurm in einer Datei mit der Endung ".cpl", zum Beispiel "1.cpl" oder "price.cpl". CPL-Dateien sind eigentlich Programme, die als Steuermodule aus der Systemsteuerung aufgerufen werden.

Alle bislang gesichteten CPL-Dateien haben eine Größe von 14.340 Bytes. Es wurden bislang vier Varianten entdeckt, die sich nur im Namen der durch die CPL-Datei angelegten EXE-Datei unterscheiden (CEEWEEWE.EXE, gfgdgfd.exe, gfgdgfddfgdfgwe.exe). Nur einer der Bagles hat die Fähigkeit zum Versenden von Mails mit infektiösem Anhang, dieser verschickt die anderen Varianten. Diese anderen Versionen sind folglich auch keine Würmer sondern Trojanische Pferde.

Der Wurm öffnet eine Hintertür auf dem Port 80, der normalerweise von Web-Servern genutzt wird. Das Trojanische Pferd hingegen scheint fehlerhaft zu sein. Nach der Beschreibung von Symantec, wo der Schädling als " Trojan.Tooso.N " geführt wird, legt er eine der oben genannten EXE-Dateien im Windows-Vrezeichnis an und will sie ausführen. Die Datei ist jedoch defekt. Kaspersky Labs berichtet, die Bagles seien nur unter Windows 98 lauffähig, nicht jedoch unter Windows 2000 oder XP.

Die Beschreibung von Trend Micro nennt weitere Eigenschaften: So öffnet der Schädling den Windows-Editor (Notepad), legt eine Kopie von sich als "winshost.exe" im Windows-Verzeichnis an und erstellt dort eine weitere Datei namens "wiwshost.exe". Diese enthält die eigentlichen Schadroutinen. Ferner wird die Datei "HOSTS" überschrieben, die Zuordnungen von Web-Adressen zu IP-Adressen enthält. Schließlich beendet der Schädling verschiedene Sicherheitsprogramme und entfernt deren Einträge aus der Registry.

Nahezu alle Antivirus-Hersteller haben inzwischen Updates bereit gestellt, mit denen die neuen Bagles erkannt werden. Die gemeldeten Virennamen müssen dabei nicht unbedingt "Bagle" enthalten, auch "Tooso", "Mitglieder" und "Glieder" sind bei den Trojanischen Pferden vertreten.

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
61488