Web

 

Neue "Bagle"-Variante hebelt Antivirensoftware aus

10.08.2004

Der E-Mail-Wurm "Bagle" treibt in einer neuen Variante sein Unwesen. Der je nach Antivirenhersteller "W32/Bagle.aq@MM (McAfee), "WORM_BAGLE.AC" (Trend Micro), "W32.Beagle.AO@mm (Symantec) oder "Win32.Bagle.AG" (Computer Associates) genannte Wurm wurde US-Berichten zufolge am Montag um 15 Uhr mitteleuropäischer Sommerzeit von Computer Associates (CA) entdeckt. Laut Sam Curry, Vice President of e-Trust Security Management bei CA verhält sich die neue Bagle-Variante ähnlich wie ältere Versionen des Wurms. Allerdings enthalte die Schadroutine nun Funktionen, die Antiviren-Tools und Firewalls deaktivieren können.

Wie bereits ältere Bagle-Versionen verschickt sich auch Bagle.AG selbständig über eine integrierte SMTP-Engine an E-Mail-Adressen, die aus unterschiedlichen auf der Festplatte abgelegten Dateien gesammelt werden. Die Schadroutine steckt im als ZIP-Archiv getarnten Anhang infizierter E-Mails. Die Archive haben den Antivirenspezialisten von Symantec zufolge die Bezeichnungen "08_price.zip", "new__price.zip", "new_price.zip", "newprice.zip", "price.zip", "price2.zip", "price_08.zip" und "price_new.zip". Die E-Mail enthält außerdem den Text "New price" und eine zufällig gewählte Absenderadresse. Die Betreffzeile ist leer.

Einmal aktiviert, kopiert sich die Schadroutine als "WINdirect.exe" in das Systemverzeichnis von Windows und trägt sich in die Registrierdatenbank ein, unter

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun und

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun.

Dadurch wird der Wurm automatisch beim Booten von Windows gestartet. Ferner erzeugt Bagle.AG die Datei "_dll.exe" im Systemverzeichnis. Der darin verborgene Code versucht nach dem Start, laufende Prozesse zu beenden, darunter Update-Routinen für Antivirensoftware oder Software-Firewalls wie "Outpost".

Außerdem wird dem Registry-Schlüssel "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" der Wert ""erthgdr"="%System%windll.exe"" zugefügt und Einträge entfernt, die auf Antivirensoftware und Firewalls wie "Norton Antivirus", "Panda Antivirus", "Kaspersky AV", "Firewall Svr" oder "Zone Labs Client Ex" verweisen.

Die ebenfalls zu Bagle gehörende Datei "~.exe" im Windows-Verzeichnis lädt Dateien von zahlreichen Web-Servern nach. Zusätzlich werden Routinen gebildet, die das Ausführen des Wurms "Netsky" unterdrücken.

Bagle nistet sich außerdem in freigegeben Ordnern von Online-Tauschbörsen ein und tarnt sich dort mit den Namen von Anwendungen wie "Adobe Photoshop", von Filmen wie "Matrix Revolutions" oder als pornografisches Material. (lex)