Web

 

Neue Variante der Wurms Bagle im Umlauf

29.09.2004

Der E-Mail-Wurm "Bagle" treibt in einer neuen Variante sein Unwesen. Der je nach Antivirenhersteller Der je nach Antivirenhersteller "W32/Bagle.az@MM (Network Associates), "Bagle.AS" (F-Secure), "W32.Beagle.AR@mm (Symantec), "W32/Bagle-AZ" (Sophos), "Win32.Bagle.AM" (Computer Associates) oder "WORM_BaGLE.AM" (Trend Micro) genannte Wurm verschickt sich wie bereits ältere Varianten selbständig über eine integrierte SMTP-Engine an E-Mail-Adressen, die aus unterschiedlichen auf der Festplatte abgelegten Dateien gesammelt werden.

Die Schadroutine steckt im E-Mail-Anhang, der die Datei-Extension ".com", ".cpl", ".exe" oder ".scr" enthalten kann.

Bislang sind infizierter Mails durch folgende Betreffzeilen aufgefallen:

Re:

Re: Hello

Re: Hi

Re: Thank you!

Re: Thanks :)

Der Nachrichtentext besteht lediglich aus dem Smiley ":))". Einmal aktiviert, kopiert sich die Schadroutine unter Dateinamen wie "Microsoft Office 2003 Crack, Working!.exe", Porno, sex, oral, anal cool, awesome!!.exe", "Porno Screensaver.scr", "Serials.txt.exe" oder "WinAmp 6 New!.exe" in jedes Verzeichnis auf der Festplatte, dessen Bezeichnung die Buchstabenkombination "shar" enthält und somit auf Freigabe-Ordner von Online-Tauschbörsen hinweist.

Im Systemverzeichnis von Windows finden sich nach dem Befall die Dateien "bawindo.exe", "bawindo.exeopen", "bawindo.exeopenopen" und "re_file.exe". Bawindo.exe wird in den Run-Schlüssel der Windows-Registry eingetragen, wodurch die Schadroutine bei jedem Start des Betriebssystems automatisch aktiviert wird.

Außerdem verhindert Bagle die Ausführung diverser Varianten des Wurms "Netsky" und versucht, installierte Antivirensoftware und Desktop-Firewalls auszuhebeln. Ferner wird der Port 81 für TCP- und UDP-Datenverkehr geöffnet. Dadurch lassen sich infizierte PCs als E-Mail-Relay zum Beispiel zum Versenden von Spam missbrauchen.

Einmal mehr gilt es, E-Mails unbekannter Herkunft zu löschen und keinesfalls die Attachments anzuklicken. Symantec empfiehlt darüber hinaus, nicht benötigte Dienste zu deaktivieren, regelmäßig aktuelle Patches und Antivirensignaturen einzuspielen und den E-Mail-Server so zu konfigurieren, dass die Annahme von Attachments blockiert wird, die ausführbare Dateien wie VB-Scripts, Batch-Files, Screensaver oder PIF-Verknüfungen enthalten. (lex)