zurück zum Artikel

Neue Varianten des Bagle-Wurms im Umlauf [Update]

Patrick Brauch

Seit dem Wochenende verbreiten sich fünf neue Varianten des Bagle-Wurms.

Nachdem vor zwei Wochen bereits eine erste Variante des Bagle-Wurms aufgetaucht [1] ist, sind am vergangenen Wochenende gleich fünf neue Varianten entdeckt worden. Network Associates führt diese als Bagle.c bis Bagle.g in der Datenbank [2]. Die neuen Varianten unterscheiden sich in ihrer Funktionsweise nicht von den Vorgängern, die Trägermails kommen aber jeweils mit unterschiedlichen Betreffzeilen und Attachment-Namen ins Haus. Die Größe des Dateianhangs variiert ebenfalls.

Wie schon die Sobig-Würmer [3] enthalten die Bagle-Varianten c bis g ein Ablaufdatum: Ab dem 25. März 2004 stellen die Schädlinge ihre Verbreitung ein. Führt der Anwender das Attachment aus, infiziert der Wurm den lokalen Rechner, indem er verschiedene Dateien im Windows-Systemverzeichnis anlegt und sich in der Windows-Registry als Autostart-Eintrag verewigt. Ferner öffnet er eine Hintertür auf Port 2745 und versucht, Komponenten aus dem Internet nachzuladen. Ist der Schädling aktiv, versucht er zusätzlich, die Update-Prozesse von installierten Virenscannern abzuschießen, sodass keine aktuellen Virensignaturen heruntergeladen werden können.

Einige dieser Bagle-Varianten verbreiten sich mittlerweile recht schnell, Network Associates führt die c- und e-Varianten bereits auf der Risikostufe "mittel". Antivirus-Software sollte die neuen Varianten mittlerweile erkennen und infizierte Mails abfangen können. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antivirus-Seiten [4] von heise Security.

Update:
Einige Bagle-Versionen bedienen sich eines neuen Tricks, um Antiviren-Software auszutricksen: Sie verschlüsseln das angehängte ZIP-Archiv, sodass beispielsweise der Kaspersky-Virenscanner den infizierten Anhang nicht mehr erkennt. Um sich zu infizieren, muss der Empfänger dann nicht nur die ZIP-Datei und die eingepackte Datei öffnen, sondern auch noch das in der Mail aufgeführte Passwort eingeben. NAI behauptet [5], dass ihre Signatur-Datei auch eine Kennung für die verschlüsselten ZIP-Archive enthalte. (pab)

URL dieses Artikels:
https://www.heise.de/-94389

Links in diesem Artikel:
[1] https://www.heise.de/news/Variante-des-Bagle-Wurms-auf-Reisen-93657.html
[2] http://vil.nai.com
[3] https://www.heise.de/news/Wurm-Welle-durch-Sobig-F-beeintraechtigt-Mailverkehr-84019.html
[4] http://www.heise.de/security/dienste/antivirus/
[5] http://vil.nai.com/vil/content/v_101062.htm

Copyright © 2004 Heise Medien