63410

Win32/Bagle.C: Pfusch bei Virenscannerupdates

03.03.2004 | 08:27 Uhr |

Die Wurmsituation mit den verschiedensten Varianten von NetSky und Bagle ist mittlerweile ziemlich unübersichtig geworden. Aber auch unter hoher Arbeitslast kann man von den Anti-Viren-Herstellern eigentlich erwarten, dass alle herausgegebenen Updates korrekt funktionieren. Doch dies ist nicht immer der Fall.

Die Wurmsituation mit den verschiedensten Varianten von NetSky und Bagle ist mittlerweile ziemlich unübersichtig geworden. Aber auch unter hoher Arbeitslast kann man von den Anti-Viren-Herstellern eigentlich erwarten, dass alle herausgegebenen Updates korrekt funktionieren. Die meisten Würmer verschicken sich nicht nur selbst per Mail, sondern legen auf infizierten Rechnern auch noch allerhand ausführbare Dateien oder DLLs an. Ein Scanner sollte also nicht nur die Wurm-EXE, sondern auch diese Bestandteile erkennen, die beim Win32/MyDoom.A unter anderen für die Hintertürfunktionen zuständig waren. Andernfalls wiegt sich ein Anwender in trügerischer Sicherheit, wenn sein Virenscanner meldet, dass alles clean ist, aber in Wirklichkeit noch jeder Hacker schnell auf sein System zugreifen könnte.

Wird der Win32/Bagle.C-Wurm aktiviert, so kopiert er sich unter dem Namen readme.exe in das System- beziehungsweise System32-Verzeichnis von Windows. Weiterhin legt er die beiden Dateien onde.exe (19 Kilobyte) und doc.exe (2 Kilobyte) an. Diese enthalten weitere Wurmbestandteile, die unter anderen für das massenhafte Verschicken der Wurm-Mails zuständig sind. Alle Dateien sind leicht mit einer Signatur zu erkennen -- aber leider scheinen einige Schutzsoftwarehersteller nicht sauber gearbeitet zu haben, so dass im ersten Update nur der Wurm selbst erkannt wurde. Erst mit einem zweiten oder gar mit einer dritten Aktualisierung klappte endlich die vollständige Wurmkur.

Nur Symantec Norton Anti-Virus konnte den Win32/Bagle.C auch ohne Update per Heuristik erkennen, inklusive der onde.exe. Bitdefender fand ohne Aktualisierung zwar nicht den Wurm selbst, wohl aber die onde.exe. Somit hätte sich der Wurm zwar auf einem System einnisten, aber nicht weiterverbreiten können.

0 Kommentare zu diesem Artikel
63410