Web

 

Virus Bagle.Z kommt mit Poesie und Kirschen

27.04.2004

Antivirenexperten warnen vor der neuesten Version des Bagle-Virus, die sich via E-Mail und über Peer-to-Peer-Netze im Internet verbreitet. Der Schädling benutzt dabei unterschiedliche, aus einer Liste zufällig gewählte Wörter für die Betreffzeile und den Dateianhang. Anders als bei bisherigen Varianten kann sich der Schadcode auch in einer ausführbaren Control-Panel-Datei verbergen, erkennbar an der Endung ".cpl". Auffällig ist zudem eines der dabei möglicherweise verwendeten Icons, das aus drei Kirschen besteht.

Wird der Dateianhang angeklickt, installiert sich eine elektronische Hintertür, die einem Angreifer das Ausführen bestimmter Befehle auf dem verseuchten Rechner erlaubt. Zudem versucht Bagle.Z, eventuell aktive Sicherheitsprogramme zu beenden und öffnet den TCP-Port 2535. Über diesen versucht der Schädling dem Autor mitzuteilen, dass er für das Empfangen von Befehlen bereit ist. Dann versucht die Bagle-Variante, eine Reihe von Webseiten der Domain .de zu kontak-tieren (unter anderem auch www.spiegel.de und www.heise.de), um von dort das Skript " 5.php" zu laden.

Wie Network Associates mitteilt, enthält der Code des Wurms ein Gedicht, das frei übersetzt etwa lautet:

"Einzigartige Menschen machen einzigartige Dinge/ Diese Dinge befinden sich außerhalb des normalen Lebens und Verstehens/ Das Problem liegt darin, dass die Leute solche wilden Dinge nicht verstehen/ wie ein Mensch niemals das wilde Leben verstand." (Unique people make unique things/ That things stay beyond the normal life and common understanding/ The problem is that people don't understand such wild things/ Like a man did never understand the wild life.)

McAfee stuft die Gefahr durch Bagle.Z als "mittel" ein. Unternehmen sollten jedoch schnellstmöglich ihre Virenscanner aktualisieren, um sich vor dem Schädling zu schützen. (ave)