Warnung: Starke Wurm-Epidemie findet kein Ende (Update)

Bagle-Würmer mit kennwortgeschützten ZIP-Archiven aufgetaucht

Das Jahr 2004 begann mit einer Flut an E-Mail- und Internet-Würmern, deren Ende im Moment kaum absehbar ist, denn seither schafft es wöchentlich mindestens ein Wurm, sich sehr stark im Internet zu verbreiten. Allein in den vergangenen Tagen tauchten immer wieder neue Ableger der Würmer Bagle und Netsky auf. Zu den jüngsten Entdeckungen gehören neue Varianten des Bagle-Wurms, bei dem sich der Wurm-Code in einer kennwortgeschützten ZIP-Datei verbirgt, so dass viele Unternehmens-Virenscanner derartige Schädlinge nicht erkennen.

Artikel veröffentlicht am ,

Da sich die neu entdeckten und bereits stark verbreitenden Bagle-Ableger H, I und J mit einem kennwortgeschützten ZIP-Archiv versenden, überlisten sie damit so manchen Virenscanner, der auf Grund des Kennwortes den im Archiv befindlichen Wurm-Code nicht analysieren und erkennen kann. Das betrifft vor allem Virenscanner, die etwa direkt auf E-Mail-Servern zum Einsatz kommen und vor allem in Unternehmen verwendet werden. Erst ein Virenscanner auf Client-Ebene kann den Wurm dann beim Entpacken erkennen, erklären die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Inhalt:
  1. Warnung: Starke Wurm-Epidemie findet kein Ende (Update)
  2. Warnung: Starke Wurm-Epidemie findet kein Ende (Update)

Beim Versand erzeugen die Bagle-Würmer ein zufällig gewähltes fünfstelliges Passwort, das im Nachrichtentext der E-Mail enthalten ist. Wer sich mit einem der drei Würmer infizierte, hat also einen gehörigen Arbeitsaufwand hinter sich: Zuerst hat er das Kennwort zum Öffnen der ZIP-Datei im Nachrichtentext der E-Mail gesucht, dieses eingegeben und anschließend das Archiv geöffnet und die darin befindliche Wurm-Datei manuell gestartet.

Mit einem entsprechenden englischsprachigen Nachrichtentext suggeriert der Wurm Bagle.J auf recht geschickte Weise, dass es Probleme mit einem Mail-Server gebe und man weitere Informationen in der angehängten Datei finde, um Opfer zum Öffnen des Anhangs zu bewegen. Wie auch die vorherigen Bagle-Würmer verbreiten sich die Neulinge über eine eigene SMTP-Engine, sammeln E-Mail-Adressen aus zahlreichen lokalen Dateien und versenden sich mit wechselnden Nachrichten- und Betrefftexten sowie gefälschten Absenderadressen. Als Weiteres kopiert sich der Wurm in Verzeichnisse, die dem Namen nach für File-Sharing-Netze verwendet werden, und verbreitet sich auch darüber. Die drei neuen Schädlinge öffnen zudem auf einem befallenen System den TCP-Port 2745 und beenden zahlreiche laufende Virenscanner oder andere Sicherheits-Software automatisch.

Aber nicht nur vom Bagle-Wurm verbreiten sich Ableger rasant im Internet, auch Netsky weist eine erfolgreiche Mutation vor: Der als Netsky.D geführte Ableger vermehrt sich explosionsartig im Internet, wobei sich die Charakteristika und Arbeitsweise des Wurms kaum von den Vorgängern unterscheiden. So versendet sich Netsky.D ebenfalls mit einer eigenen SMTP-Engine an alle Absender, deren Adressen er in zahlreichen lokalen Dateien auf einem befallenen System sucht. Betreff- und Nachrichtentext werden immer wieder anders zusammengestellt, wobei die Absenderadresse gefälscht ist. Infizieren tut sich nur, wer leichtsinnigerweise die an die Mail angefügt PIF-Datei manuell öffnet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Warnung: Starke Wurm-Epidemie findet kein Ende (Update) 
  1. 1
  2. 2
  3.  


:-) 23. Mär 2004

..die hei§en heute auch nicht mehr Viagra, sondern: "Re: Deine Mail von gestern"....!

Desertfox 16. Mär 2004

Endlich einer, der einen konstruktive Beitrag leistet!! ;)

Desertfox 16. Mär 2004

Wer lässt hier "oberhammergeilscheinende" Sprücherl ab?? DU bist doch der IT-Experte...

Ozzy 05. Mär 2004

Das ist aber ein sehr hinkender Vergleich. Leute die einen Server "bedienen" - egal...



Aktuell auf der Startseite von Golem.de
Verkaufsverbot
Huawei will 50-Cent-Lizenzgebühr pro AVM-Fritzbox

Huawei hat gerichtlich ein gültiges Verkaufsverbot von Fritzboxen mit Wi-Fi 6 und Wi-Fi 7 durchgesetzt. Es geht um Huaweis Patente für den Standard.

Verkaufsverbot: Huawei will 50-Cent-Lizenzgebühr pro AVM-Fritzbox
Artikel
  1. Elektro-SUV: Porsche macht den Macan deutlich aerodynamischer
    Elektro-SUV
    Porsche macht den Macan deutlich aerodynamischer

    Der vollelektrische Porsche Macan soll "in Kürze" in die Produktion gehen. Dazu hat der Sportwagenhersteller neue Details zu dem SUV genannt.

  2. Samsung-Tablet bei Media Markt mit 180 Euro Rabatt sichern
     
    Samsung-Tablet bei Media Markt mit 180 Euro Rabatt sichern

    Media Markt bietet zum Jahresanfang interessante Deals an. Ein beliebtes Samsung-Tablet ist mit einem Rabatt von 180 Euro besonders spannend.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Von wegen Fachkräftemangel: ITler in USA und Schweiz sehen verschlechterte Job-Chancen
    Von wegen Fachkräftemangel
    ITler in USA und Schweiz sehen verschlechterte Job-Chancen

    Zumindest in den USA und der Schweiz ist ITlern zufolge wenig von Fachkräftemangel und einem Arbeitnehmermarkt zu spüren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • MindStar: Gigabyte RTX 4070 Ti 819€ • Google -47% • Steelseries -64% • Corsair -39% • Bose -36% • 3 Spiele für 49€ • Gigabyte 27" QHD 240 Hz 399€ • EA-Spiele -66% [Werbung]
    •  /