Abo
  • Services:
Anzeige

Bagle-Wurm: Ohne Tricks und doppelten Boden

Starke Verbreitung, obwohl Wurm in einer als exe-Datei erkennbaren Datei steckt

Bereits am 18. Januar 2004 tauchte der Bagle-Wurm erstmals auf, verbreitete sich zunächst aber nur wenig. Nun schlagen die Labors der Antivirenhersteller Alarm, dass sich der Unhold mittlerweile stark verbreitet habe. Dabei wendet der Wurm keine besonderen Tricks oder Kniffe an. Mit dem Wurm infiziert sich nur, wer vorher eine als solche erkennbare, per E-Mail empfangene exe-Datei gestartet hat.

Anzeige

Der Bagle-Wurm verschickt sich in einer infizierten E-Mail, die den Betrefftext "Hi" trägt und wechselnde Nachrichtentexte aufweist, die mit "Test =)" beginnen und mit "Test, yep." enden. Der Wurm-Code steckt in einer an die E-Mail gehängten, knapp 16 KByte großen exe-Datei, die mit wechselndem Dateinamen von dem Schädling versendet wird. Erst nach manuellem Start der exe-Datei wird das betreffende System infiziert und der Unhold beginnt mit der Verbreitung.

Zur effizienten Vermehrung durchsucht Bagle alle Dateien mit den Endungen .wab, .htm, .html und .txt nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Dabei bleiben Empfänger mit den Adressteilen .r1, @hotmail.com, @msn.com, @microsoft.com sowie @avp unberücksichtigt, so dass sich der Bösewicht nicht an diese versendet. Nach der Ausführung des Wurms legt dieser sich in Form der Datei bbeagle.exe im Windows-System-Verzeichnis ab und trägt sich so in die Registry ein, dass der Schädling bei jedem Rechnerstart geladen wird.

Der Bagle-Wurm öffnet nach außen den Port 6777, worüber ein Angreifer Zugang zu dem betreffenden System erlangt, um etwa Programme mit den Rechten des angemeldeten Nutzers zu laden und auszuführen. Zudem versucht der Unhold, über im Wurm codierte Web-Server PHP-Scripte zu laden. Wie der Sobig-Wurm besitzt auch Bagle eine Art Selbstzerstörungsfunktion, denn nach dem 28. Januar 2004 stellt der Schädling seine Arbeit ein und verbreitet sich nicht mehr weiter.

Da sich der Bagle-Wurm ohne großen Tarnaufwand so wirksam verbreitet, zeigt dies, dass viele Anwender offenbar aus den vergangenen Wurm-Epidemien nur wenig gelernt haben und nach wie vor unbedarft Dateianhänge mit darin befindlichen exe-Dateien öffnen. Verschiedene Sicherheitsexperten dokumentieren auf entsprechenden Mailinglisten ihre Verwunderung darüber, dass sich ein Wurm ohne Tarneigenschaften so stark verbreiten kann.

Die Anbieter von Antiviren-Software bieten aktualisierte Signaturdateien zur Erkennung des Wurms sowie Tools zur Entfernung des Schädlings an.


eye home zur Startseite
M.Kessel 21. Jan 2004

Genau. Deswegen gehört hier ein sogenannter "PC-Führerschein" meiner Meinung nach in...

MrMarco 21. Jan 2004

Das Mailprogramm ist egal. Der User muß die Exe ja manuel starten. Nix mit automatisch...

MrMarco 21. Jan 2004

MEINE hat es gelernt. :)

krille 20. Jan 2004

Full Ack - ich weiss noch wie unser ISP beim Slammer 1433&1434 zugemacht hat - und Essig...

krille 20. Jan 2004

... versuch doch mal MEINER FRAU zu zeigen, wo man den ölstand kontrolliert oder...



Anzeige

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  2. Limbach Gruppe SE, Rüsselsheim
  3. CONJECT AG, Duisburg
  4. gkv informatik, Wuppertal


Anzeige
Spiele-Angebote
  1. (-60%) 7,99€
  2. 29,99€
  3. 16,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Die Ursache soll in den Betriebsbedingungen...

    kommentar4711 | 19:06

  2. Re: Bringt mich auf eine Idee

    HiddenX | 19:06

  3. Re: Verkaufsarguement?

    violator | 19:00

  4. Re: Russland der Feind?

    slead | 18:59

  5. Re: Mmmmh, 30 FPS

    surpriseurdead | 18:56


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel