Neue Bagle-Modifikation in Umlauf

Viren

Der russische Sicherheits-Experte Kaspersky Labs http://www.kaspersky.com warnt vor einer gefährlichen
Modifikation des bekannten "I-Worm.Bagle". Der Bagle-Autor ist derzeit besonders
aktiv und verbreitet laut Kaspersky wöchentlich neue Varianten des Wurms.
Gegenwärtig verbreitet sich "Email-Worm.Win32.Bagle.bn" primär über Spam. Der
Security-Spezialist geht davon aus, dass damit die Bagle-"botnets"
aufrechterhalten werden solleninfizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch
keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die ein mit PeX gepacktes
EXE-File enthält, befindet sich im E-Mail-Anhang. Die EXE-Datei trägt den Namen
"19_04_2005.exe" und hat gepackt eine Größe von rund 19 KB. Beim Start der
ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis
erstellt. Der Name dieser Text-Datei beginnt mit dem Symbol und verfügt über die
Dateiendung txt. Der restliche Teil des Namens wird zufällig erzeugt. "Bagle.bn"
verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems.
Der User sieht im Texteditor lediglich das Wort "Sorry".

Im Anschluss
extrahiert der Wurm die Dateien "winshost.exe" aus dem Wurmkörper, speichert
diese in das Windows-System-Verzeichnis und registriert sie in der
Windows-Registry. Anschließend blockiert der Wurm die Arbeit diverser
Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der
Registry gelöscht werden kann. Darüber hinaus beendet der Wurm Prozesse in
Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die
hosts-Datei, um zu verhindern, dass der Anwender Webseiten von
Antiviren-Herstellern aufrufen kann. "Bagle.bn" ist nicht in der Lage, sich
selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techiken
verwenden, um Repliken des Wurms massenhaft zu verbreiten

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.