Warnung: Bagle is back

29. September 2004

     

Eine neue Variante des Bagle-Wurms treibt sich seit kurzem im Internet herum. Namen hat er derweil viele, so nennt ihn Network Associates "W32/Bagle.az@MM", bei F-Secure wird er unter "Bagle.AS" geführt, "W32.Beagle.AR@mm" nennt Symantec den Unhold, Sophos betitelt ihn mit "W32/Bagle-AZ", Computer Associates mit "Win32.Bagle.AM" und bei Trend Micro heisst er "WORM_BaGLE.AM".

Egal mit welchem Decknamen er sein Unwesen treibt, wie seine Vorgänger verschickt er sich selbständig über eine integrierte SMTP-Engine an E-Mail-Adressen, die aus unterschiedlichen auf der Festplatte abgelegten Dateien gesammelt werden.


Die Schadroutine steckt im E-Mail-Anhang, der die Datei-Extension ".com", ".cpl", ".exe" oder ".scr" enthalten kann. Die Nachricht mit den Betreffzeilen Re:; Re: Hello; Re: Hi; Re: Thank you! und Re: Thanks :) kommt mit einem Smiley daher. Einmal aktiviert, kopiert sich die Schadroutine in jedes Verzeichnis mit der Buchstabenkombination "shar" auf der Festplatte. Die Schadroutine wird bei jedem Start des Betriebssystems automatisch aktiviert.

Zwar versucht der Schädling, installierte Antivirensoftware und Desktop-Firewalls auszuhebeln, verhindert aber zumindest die Ausführung des Wurms "Netsky". Allerdings wird der Port 81 für TCP- und UDP-Datenverkehr geöffnet, wodurch sich infizierte PCs als E-Mail-Relay zum Beispiel zum Versenden von Spam missbrauchen lassen.

Wie immer gilt: keine unbekannten Attachments öffnen oder bestenfalls automatisch zu blockieren, nicht benötigte Dienste zu deaktivieren sowie regelmässig aktuelle Patches und Antivirensignaturen einzuspielen. (sk)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER