Abo
  • Services:
Anzeige

Neue Bagle-Variante macht Virenscannern das Leben schwer

Kennwörter für verschlüsselte Archive werden als Grafik an Wurm-Mail angefügt

Seit der erste Bagle-Wurm aufgetaucht ist, sind bereits zahlreiche Abarten des Wurms erschienen. Seit dem Wochenende treibt eine neue Variante des Unholds im Internet ihr Unwesen, indem Virenscannern eine Erkennung einer Wurm-E-Mail erschwert wird. Die Kennwörter von verschlüsselten Archiven werden nicht mehr als Text in der E-Mail abgelegt, sondern als Grafikdatei an die E-Mail gehangen. Der Wurm besitzt zudem eine Viren-Schadroutine, die EXE-Dateien infiziert.

Der Wurm Bagle.N verbreitet sich unter anderem per E-Mail, wobei der Wurm-Code sich in einer komprimierten ZIP-Datei oder einem RAR-Archiv verbergen kann. Während frühere Bagle-Varianten die Kennwörter zum Entpacken des Wurm-Archivs im Klartext in den E-Mail-Text geschrieben haben, fügt Bagle.N oft eine Grafikdatei mit dem Kennwort an die E-Mail an, was die Erkennung eines Wurm-Anhangs für Virenscanner erschwert. Für E-Mail-Würmer war es bislang unüblich, dass Virentechniken verwendet werden, wie sie Bagle.N nun nutzt: Der Schädling setzt sich auf einem befallenen System fest, indem er EXE-Dateien infiziert und den Wurm-Code an diese anhängt, so dass der Unhold beim Start entsprechender Programme geladen wird.

Anzeige

Über einen entsprechenden, englischsprachigen Mail-Text versucht Bagle.N ein Opfer zum Öffnen des Mail-Anhangs zu bewegen, indem so getan wird, als wenn der Anhang Informationen bezüglich des Mail-Kontos enthalte. Sowohl Betreffzeile als auch Nachrichtentext werden aus einem Fundus an Textbausteinen zusammengesetzt. Wie üblich wird die Absenderadresse gefälscht, so dass der Urheber der Wurm-Verbreitung nicht auszumachen ist.

Zur Verbreitung durchsucht der Wurm die lokale Festplatte in zahlreichen Dateien nach E-Mail-Adressen und versendet sich an diese. Außerdem legt sich der Wurm mit unterschiedlichen Dateinamen in Verzeichnissen ab, deren Namen die Bezeichnung "shar" enthalten, um sich über P2P-Netzwerke wie KaZaA zu vermehren. Wurde der Wurm aktiviert, trägt er sich so in die Registry ein, dass er zusätzlich zur Infektion von EXE-Dateien bei jedem Windows-Neustart geladen wird.

Als weitere Schadroutine beendet Bagle.N etliche laufende Virenscanner, Software-Firewalls oder andere Sicherheits-Software, um ungestört seine Ziele zu verfolgen. Zudem öffnet der Wurm den TCP-Port 2556, worüber ein Angreifer Programmcode auf ein fremdes System einschleusen kann.


eye home zur Startseite
Deamon 17. Mär 2004

Spiel ein bischen im Sandkasten mit einem Bagger ... Vieleicht hilft´s !

Steve 16. Mär 2004

ok ok, vergesst es, hab grad bei symantec gelesen dass der auch als Bagle bekannt ist

Steve 16. Mär 2004

ich dachte immer Bagle wär was zu essen aus Amerika, ihr meint wohl Beagle - ja ich wei...

Stereoide 16. Mär 2004

Dann mußt Du den Leuten aber noch beiprügeln, sich nicht als Administrator bzw. mit...

Provider 16. Mär 2004

Hi, natürlich ist es möglich Texte in Bildern zu verstecken. Bei diesem Virus geht es...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Robert Bosch GmbH, Leonberg
  3. IKOR Management- und Systemberatung GmbH, deutschlandweit
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Der Todesstern aus Sicht der Kampagne

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Kritische Infrastruktur gehört in staatliche...

    Thiesi | 18:21

  2. Re: Sehr Kompakte Beschreibung

    M.P. | 18:21

  3. Re: Eigene Krypto?

    katze_sonne | 18:13

  4. Re: Sinn?

    Der Held vom... | 18:09

  5. Re: Wenn man dem System Linux schaden wöllte,

    unbuntu | 18:07


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel