12566

Olympia-Bagle im Umlauf

14.02.2006 | 14:48 Uhr |

Ein neuer Bagle-Wurm versendet Mails, die Olympia-Tickets versprechen.

Aktuelle Ereignisse werden oft und gerne als Vehikel für Malware genutzt. So verbreitet sich auch der jüngste Vertreter aus der Familie der Bagle-Würmer mit Mails, die Eintrittskarten für die Olympischen Winterspiele in Turin verheißen.

Der finnische Antivirus-Hersteller F-Secure berichtet über die Entdeckung einer Bagle-Variante namens "Bagle.FY". Dieser Wurm hat große Ähnlichkeit mit dem in der letzten Woche aufgetauchten Wurm "Bagle.FM", sendet jedoch Mails mit anderen Merkmalen.

Der Betreff der Mails lautet "FREE OLYMPIC TICKETS LOTTERY!", "2006 Winter Games in Torino" oder "2006 Torino Winter Games FREE Tickets". Der Text der Mails ist eine von ebenfalls drei Varianten. Jede enthält einen Satz, der die Empfänger zum Öffnen des Anhangs verleiten soll:

OPEN ATTACHMENT ARCHIVE TO GET INFORMATION HOW TO OBTAIN A FREE TOCKET.

oder:

FREE TICKECKS AVAILABLE NOW ON LOTTERY BASIS. CHECK ATTACHED FILE.

oder:

Attention: you recieved free ticket invitation with attachment!

Nach Angaben von McAfee enthalten die Mails einen Anhang mit einem dieser Dateinamen: "Generated_bill.exe", "Order_details.exe" oder "Service_receipt.exe". Wird der Anhang geöffnet, zeigt der Wurm eine vorgetäuschte Fehlermeldung an: "Error! Can't find a viewer associated with the file."

Der Wurm kann verschiedene Sicherheitsprogramme wie Virenscanner oder Personal Firewalls deaktivieren, indem er ihre Registry-Einträge entfernt. Er trägt sich selbst in die Windows-Registry ein, damit er beim Start von Windows automatisch geladen wird:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
LsaManager = c:\windows\system32\lsamgr.exe

Ferner versucht er von mehreren Internet-Servern weitere Dateien zu laden und öffnet eine Hintertür auf dem Port 6777, um so den Zugriff auf den Rechner über das Internet zu ermöglichen. Bagle.FY kann sich auch über P2P-Netze verbreiten, indem er sich in deren Freigabeordner kopiert. Dabei benutzt er eine Reihe von Dateinamen, die auf Nacktfotos hinweisen, aber auch auf Seriennummern, Software oder Windows-Quelltexte.

Antivirus

Malware-Name

F-Secure

Bagle.FY

McAfee

W32/Bagle.dt@MM

Sophos

W32/Bagle-CM

Symantec

W32.Beagle.DR@mm

Trend Micro

WORM_BAGLE.EV

Erkennung und Beschreibungen:

0 Kommentare zu diesem Artikel
12566