Neuer Bagle-Schädling unterwegs

30. Mai 2005, 12:33
3 Postings

Email-Worm.Win32.Bagle.bn in Umlauf - Wird als "gefährlich" eingestuft

Das IT-Sicherheits-Unternehmen Kaspersky Lab warnt vor einer gefährlichen Modifikation des bereits bekannten "I-Worm.Bagle" mit dem Namen "Email-Worm.Win32.Bagle.bn".

Massenverbreitung

Der Bagle-Autor ist besonders aktiv und verbreitet seit Anfang 2005 wöchentlich neue Varianten des Wurms. Gegenwärtig beobachtet Kaspersky Lab eine Massenverbreitung des neuesten Schadprogramms über Spam und geht davon aus, dass damit die Bagle-"botnets" (PCs, die mit dem Bagle-Wurm infiziert sind) aufrechterhalten werden sollen. Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die eine mit PeX gepackte EXE-Datei enthält, befindet sich im E-Mail-Anhang. Die EXE-Datei heißt 19_04_2005.exe und hat gepackt eine Größe von 19 KB (ungepackt 65 KB).

Neustart

Beim Starten der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Der Name dieser Text-Datei beginnt mit dem Symbol ~ und verfügt über die Dateiendung txt. Der restliche Teil des Namens wird zufällig erzeugt. Bagle.bn verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der Anwender sieht im Texteditor lediglich das Wort "Sorry" angezeigt. Im Anschluss extrahiert der Wurm die Datei winshost.exe aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert es anschließend in der Windows Registry. Dadurch wird sichergestellt, dass der Wurm bei jedem Neustart des Rechners aktiviert wird.

Antiviren-Software wird blockiert

Der Wurm blockiert die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden können. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. Bagle.bn ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techniken verwenden, um weitere Repliken des Wurms massenhaft zu verbreiten.(red)

  • Bild nicht mehr verfügbar
Share if you care.