Rätsel um Geister-Mails gelöst

In der letzten Woche rätselten viele Anwender über seltsame Mails, die sie erhalten hatten. Auch Sicherheitsfachleute spekulierten über den möglichen Sinn der Mails, deren Betreff und Text nur aus einigen Ziffern bestand ( wir berichteten ). Mittlerweile ist klar, dass die Mails von einem Trojanischen Pferd aus der Bagle-Familie verschickt werden.

Der Antivirus-Hersteller Symantec hat den Schädling ” W32.Beagle.FC ” als Verursacher identifiziert. Dabei handelt es sich trotz Mail-Versand nicht um einen Wurm, denn die Mails dienen nicht der Ausbreitung dieses Trojanischen Pferds. Die versandten Mails enthalten keinerlei schädlichen Code.

Wird das Trojanische Pferd W32.Beagle.FC ausgeführt, durchsucht es etliche Dateitypen auf allen lokalen Festplatten nach Mail-Adressen. Dabei ignoriert es solche Adressen, die bestimmte Zeichenfolgen enthalten, beispielsweise “support”, “icrosoft”, “postmaster@” oder “listserv” sowie Namensbestandteile von Antivirus-Herstellern.

Die gesammelten Adressen sendet es via HTTP an einen Web-Server. Dann lädt der Schädling eine Reihe von Dateien, die Mail-Adressen enthalten, von verschiedenen anderen Web-Servern herunter und speichert sie in einer Datei “elist.xpt” im Windows-Verzeichnis. An diese Adressen sendet Beagle.FC dann Test-Mails mit einer der Betreffzeilen “455”, “557”, “56757”, “586876” oder “1545453”. Der Text lautet stets “5556” oder “969”. Absenderangabe und Zieladresse sind identisch.

Auf diese Weise sollen die Adressen mutmaßlich auf Gültigkeit überprüft werden. Der Zweck der Adressenprüfung dürfte der spätere Versand von Spam-Mails sein. Unklar bleibt dabei, wie Informationen über die Gültigkeit einer Mail-Adresse gesammelt und verarbeitet werden. Schließlich erzeugt der Schädling eine Batchdatei namens “a.bat”, die ihn löschen soll und beendet sich.