245470

Neue Varianten des Bagle-Wurms aufgetaucht

27.01.2005 | 13:01 Uhr |

Seit dem Abend des 26. Januars ist eine neue Version des Bagle Wurms im Umlauf.

Seit dem Abend des 26. Januars ist eine neue Version des Bagle Wurms im Umlauf. Inzwischen haben bereits mehrere Antivirus-Hersteller eine mittlere Warnstufe ausgegeben. Das bedeutet, dass der Wurm schon eine größere Zahl von PCs infiziert hat und sich weiter ausbreitet.

Leider ist die Namensgebung der Antivirus-Hersteller uneinheitlich: So bezeichnet zum Beispiel McAfee diese Variante als "W32/Bagle.bj@MM", Symantec als "W32.Beagle.AY@mm" und Trend Micro als "WORM_BAGLE.AY". Der Wurm verbreitet sich per Mail und über Freigaben für P2P-Netzwerke wie KaZaa, Bearshare, Limewire und andere. Die Mails tragen Betreffzeilen wie "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail" oder "You are made active". Der Text lautet entweder "Thanks for use of our software." oder "Before use read the help". Im Anhang der Mails befindet sich eine Datei mit Namen wie "Jol03", "guupd02", "siupd02", "upd02", "viupd02", "wsd01" oder "zupd02", kombiniert mit einer der Dateiendungen ".com", ".cpl", ".exe" oder ".scr", also zum Beispiel "upd02.exe".

Die Dateigröße kann unterschiedlich sein, beträgt jedoch mindestens 18 KB. Die Verbreitung über P2P-Netze erfolgt, indem sich der Wurm in Ordner kopiert, deren Name die Zeichenkette "shar" enthält. Dabei werden Dateinamen verwendet wie "1.exe", "2.exe" (bis 10), "Ahead Nero 7.exe", "WinAmp 5 Pro Keygen Crack Update.exe" und andere. Wird der Wurm ausgeführt, kopiert er sich als "sysformat.exe" in den System-Ordner (C:\Windows\System32\ bei Windows XP) und trägt diesen Dateinamen in die Registry ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Sysformat" = "%System%\sysformat.exe"

So wird der Wurm beim Starten von Windows automatisch geladen. Er versucht die Prozesse von Antivirus- und Firewallsoftware zu beenden, sammelt Adressen aus etlichen Dateiarten und versendet sich per Mail weiter. Ferner versucht der Wurm eine weitere Datei (error.jpg) von verschiedenen Web-Servern herunterzuladen. Dadurch erfährt ein Angreifer die IP-Adresse des verseuchten Rechners. Der Wurm enthält auch eine Backdoor-Komponente, die auf unterschiedlichen Ports auf herein kommende Verbindungen wartet.

Eine zweite Bagle-Variante ist nahezu gleichzeitig entdeckt worden. Sie ähnelt der ersten wie ein Ei dem anderen und kann nur von Virenscannern unterschieden werden. Sie wird von McAfee als "W32/Bagle.bk@MM", von Symantec als "W32.Beagle.AZ@mm" und Trend Micro als "WORM_BAGLE.AZ" bezeichnet.

Sie sollten umgehend Ihre Antivirus-Software aktualisieren sowie Mails und Dateien der oben beschriebenen Art nicht öffnen, sondern gleich löschen.

Mcafee: W32/Bagle.bj@MM
Mcafee: W32/Bagle.bk@MM

Symantec: Bagle 1
Symantec: Bagle 2

Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt (ab 31. Januar). Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen.

0 Kommentare zu diesem Artikel
245470