Abo
  • Services:
Anzeige

Bagle-Wurm: Ohne Tricks und doppelten Boden

Starke Verbreitung, obwohl Wurm in einer als exe-Datei erkennbaren Datei steckt

Bereits am 18. Januar 2004 tauchte der Bagle-Wurm erstmals auf, verbreitete sich zunächst aber nur wenig. Nun schlagen die Labors der Antivirenhersteller Alarm, dass sich der Unhold mittlerweile stark verbreitet habe. Dabei wendet der Wurm keine besonderen Tricks oder Kniffe an. Mit dem Wurm infiziert sich nur, wer vorher eine als solche erkennbare, per E-Mail empfangene exe-Datei gestartet hat.

Anzeige

Der Bagle-Wurm verschickt sich in einer infizierten E-Mail, die den Betrefftext "Hi" trägt und wechselnde Nachrichtentexte aufweist, die mit "Test =)" beginnen und mit "Test, yep." enden. Der Wurm-Code steckt in einer an die E-Mail gehängten, knapp 16 KByte großen exe-Datei, die mit wechselndem Dateinamen von dem Schädling versendet wird. Erst nach manuellem Start der exe-Datei wird das betreffende System infiziert und der Unhold beginnt mit der Verbreitung.

Zur effizienten Vermehrung durchsucht Bagle alle Dateien mit den Endungen .wab, .htm, .html und .txt nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Dabei bleiben Empfänger mit den Adressteilen .r1, @hotmail.com, @msn.com, @microsoft.com sowie @avp unberücksichtigt, so dass sich der Bösewicht nicht an diese versendet. Nach der Ausführung des Wurms legt dieser sich in Form der Datei bbeagle.exe im Windows-System-Verzeichnis ab und trägt sich so in die Registry ein, dass der Schädling bei jedem Rechnerstart geladen wird.

Der Bagle-Wurm öffnet nach außen den Port 6777, worüber ein Angreifer Zugang zu dem betreffenden System erlangt, um etwa Programme mit den Rechten des angemeldeten Nutzers zu laden und auszuführen. Zudem versucht der Unhold, über im Wurm codierte Web-Server PHP-Scripte zu laden. Wie der Sobig-Wurm besitzt auch Bagle eine Art Selbstzerstörungsfunktion, denn nach dem 28. Januar 2004 stellt der Schädling seine Arbeit ein und verbreitet sich nicht mehr weiter.

Da sich der Bagle-Wurm ohne großen Tarnaufwand so wirksam verbreitet, zeigt dies, dass viele Anwender offenbar aus den vergangenen Wurm-Epidemien nur wenig gelernt haben und nach wie vor unbedarft Dateianhänge mit darin befindlichen exe-Dateien öffnen. Verschiedene Sicherheitsexperten dokumentieren auf entsprechenden Mailinglisten ihre Verwunderung darüber, dass sich ein Wurm ohne Tarneigenschaften so stark verbreiten kann.

Die Anbieter von Antiviren-Software bieten aktualisierte Signaturdateien zur Erkennung des Wurms sowie Tools zur Entfernung des Schädlings an.


eye home zur Startseite
M.Kessel 21. Jan 2004

Genau. Deswegen gehört hier ein sogenannter "PC-Führerschein" meiner Meinung nach in...

MrMarco 21. Jan 2004

Das Mailprogramm ist egal. Der User muß die Exe ja manuel starten. Nix mit automatisch...

MrMarco 21. Jan 2004

MEINE hat es gelernt. :)

krille 20. Jan 2004

Full Ack - ich weiss noch wie unser ISP beim Slammer 1433&1434 zugemacht hat - und Essig...

krille 20. Jan 2004

... versuch doch mal MEINER FRAU zu zeigen, wo man den ölstand kontrolliert oder...



Anzeige

Stellenmarkt
  1. Stuttgarter Lebensversicherung a.G., Stuttgart
  2. über Robert Half Technology, Berlin
  3. über Robert Half Technology, Stuttgart
  4. Landeshauptstadt München, München


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)
  3. und Gears of War 4 gratis erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten

  2. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  3. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  4. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  5. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  6. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  7. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  8. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  9. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  10. Project Catapult

    Microsoft setzt massiv auf FPGAs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

X1D ausprobiert: Die Hasselblad für Einsteiger
X1D ausprobiert
Die Hasselblad für Einsteiger
  1. Modulares Smartphone Lenovo bringt Moto Z mit Moto Z Play nach Deutschland
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab

  1. Re: warum Urheberrecht-Verletzung?

    maverick1977 | 04:59

  2. Re: Wie werden die priorisiert werden?

    postb1 | 04:39

  3. Re: Seit 1 Monat bei mir ca. 5ms niedrigere...

    Unix_Linux | 03:29

  4. ... und der Papst verbietet Kondome (kwT)

    tfg | 03:18

  5. Re: die Amis plätten VW und wir im gegenzug FB?

    GenXRoad | 03:16


  1. 20:57

  2. 18:35

  3. 18:03

  4. 17:50

  5. 17:41

  6. 15:51

  7. 15:35

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel