Web

 

Wieder neue Bagle-Variante aufgetaucht

20.07.2004

Nur kurze Zeit nach dem Auftauchen der letzten Version des Bagle-Wurms warnen Virenexperten bereits vor der nächsten Reincarnation des elektronischen Schädlings, die unter den Bezeichnungen "Bagle AI" beziehungsweise "Bagle.AG" die Runde macht.

Von dem neuen Bagle-Spross erzeugte Mail-Nachrichten verwenden gefälschte Absender und zufällig ausgewählte Betreffzeilen wie "Re:", "fotogalary", "Lovely animals" oder "Screen." Sie führen infizierte Attachments mit sich, die nichtssagende Namen wie "Moreinfo", "Details", oder "Readme" tragen und Dateiendungen wie .ZIP, .EXE, oder .SCR besitzen.

Wird Bagle.AG durch Anklicken einer solchen Datei ausgeführt, durchsucht er die locale Festplatte nach E-Mail-Adressen, installiert seine eigene SMTP-Engine (Simple Mail Transfer Protocol) und versucht sich auf diese Weise weiterzuverschicken. Der Schädling versucht das unter anderem, indem er passwortgeschützte, komprimierte Kopien seiner selbst an die Mails anhängt. Das zum Entschlüsseln benötigte Passwort ist in einer Bitmap-Bilddatei enthalten, die in den Hauptteil der Mail eingebettet ist.

Wie frühere Bagle-Varianten kopiert sich auch die neue in Windows-Verzeichnisse, die von Tauschprogrammen benutzt werden können. Zur Tarnung sucht er sich dabei einen Namen aus einer langen Liste von in Tauschbörsen beliebten Dateien aus. Dazu gehören beispielsweise die Anwendung "Adobe Photoshop", der Film "Matrix Revolutions" oder pornografisches Material.

Antivirenspezialisten stufen die von Bagle.AG ausgehende Gafehr als Mittelschwer ein, empfehlen Anwendern jedoch, unbedingt ihre Virenschutzsoftware zu aktualisieren. (ave)