Nachfolger des Bagle-Wurms verbreitet sich rasant
Der Wurm Bagle.B trägt eine gefälschte Absenderadresse, ist aber an der Betreffzeile mit dem Muster "ID [zufällige Buchstabenfolge]... thanks" zu erkennen. Der Wurm-Code befindet sich in einer an die E-Mail angehängten exe-Datei mit wechselndem Namen, die dem Icon nach dem Windows Sound Recorder zugeordnet ist. Mit dieser Tarnung versucht der Wurm Anwender dazu zu bewegen, den Wurm manuell zu öffnen. Bei der Dateiendung wurden hingegen keine Tricks angewendet, so dass die Datei auf .exe endet. Im Nachrichtentext steht "Yours ID" gefolgt von einer zufälligen Buchstabenreihenfolge sowie einem abschließenden "Thank".
Wird der Wurm-Code ausgeführt, startet dies den Windows Sound Recorder, wodurch sich der Unhold in Form der Datei au.exe im Windows-System-Verzeichnis ablegt und sich so in die Registry einträgt, so dass der Schädling bei jedem Windows-Start geladen wird. Der Bagle-Wurm öffnet nach außen den Port 8866, worüber ein Angreifer Zugang zu dem betreffenden System erlangt. Eine Benachrichtigung über die Hintertür versendet der Wurm über den TCP-Port 80 an einen der Server www.47df.de, www.strato.de oder intern.games-ring.de.
Zur Verbreitung durchsucht Bagle.B alle Dateien mit den Endungen .wab, .htm, .html und .txt nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Wie auch der erste Bagle-Wurm ignoriert der Nachfolger einige E-Mail-Adressen für die Verbreitung, so dass Empfänger mit den Adressen @hotmail.com, @msn.com, @microsoft.com sowie @avp unberücksichtigt bleiben. Am 25. Februar 2004 stellt der Wurm Bagle.B seine Aktivitäten ein und versendet sich nicht mehr weiter.
Die Hersteller arbeiten bieten entsprechend aktualisierte Signatur-Dateien an.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.