• IT-Karriere:
  • Services:

Neue Bagle-Variante macht Virenscannern das Leben schwer

Kennwörter für verschlüsselte Archive werden als Grafik an Wurm-Mail angefügt

Seit der erste Bagle-Wurm aufgetaucht ist, sind bereits zahlreiche Abarten des Wurms erschienen. Seit dem Wochenende treibt eine neue Variante des Unholds im Internet ihr Unwesen, indem Virenscannern eine Erkennung einer Wurm-E-Mail erschwert wird. Die Kennwörter von verschlüsselten Archiven werden nicht mehr als Text in der E-Mail abgelegt, sondern als Grafikdatei an die E-Mail gehangen. Der Wurm besitzt zudem eine Viren-Schadroutine, die EXE-Dateien infiziert.

Artikel veröffentlicht am ,

Der Wurm Bagle.N verbreitet sich unter anderem per E-Mail, wobei der Wurm-Code sich in einer komprimierten ZIP-Datei oder einem RAR-Archiv verbergen kann. Während frühere Bagle-Varianten die Kennwörter zum Entpacken des Wurm-Archivs im Klartext in den E-Mail-Text geschrieben haben, fügt Bagle.N oft eine Grafikdatei mit dem Kennwort an die E-Mail an, was die Erkennung eines Wurm-Anhangs für Virenscanner erschwert. Für E-Mail-Würmer war es bislang unüblich, dass Virentechniken verwendet werden, wie sie Bagle.N nun nutzt: Der Schädling setzt sich auf einem befallenen System fest, indem er EXE-Dateien infiziert und den Wurm-Code an diese anhängt, so dass der Unhold beim Start entsprechender Programme geladen wird.

Stellenmarkt
  1. über duerenhoff GmbH, München
  2. über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Großraum Siegen

Über einen entsprechenden, englischsprachigen Mail-Text versucht Bagle.N ein Opfer zum Öffnen des Mail-Anhangs zu bewegen, indem so getan wird, als wenn der Anhang Informationen bezüglich des Mail-Kontos enthalte. Sowohl Betreffzeile als auch Nachrichtentext werden aus einem Fundus an Textbausteinen zusammengesetzt. Wie üblich wird die Absenderadresse gefälscht, so dass der Urheber der Wurm-Verbreitung nicht auszumachen ist.

Zur Verbreitung durchsucht der Wurm die lokale Festplatte in zahlreichen Dateien nach E-Mail-Adressen und versendet sich an diese. Außerdem legt sich der Wurm mit unterschiedlichen Dateinamen in Verzeichnissen ab, deren Namen die Bezeichnung "shar" enthalten, um sich über P2P-Netzwerke wie KaZaA zu vermehren. Wurde der Wurm aktiviert, trägt er sich so in die Registry ein, dass er zusätzlich zur Infektion von EXE-Dateien bei jedem Windows-Neustart geladen wird.

Als weitere Schadroutine beendet Bagle.N etliche laufende Virenscanner, Software-Firewalls oder andere Sicherheits-Software, um ungestört seine Ziele zu verfolgen. Zudem öffnet der Wurm den TCP-Port 2556, worüber ein Angreifer Programmcode auf ein fremdes System einschleusen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 106,68€ (Bestpreis!)
  2. 94,90€
  3. (u. a. Overwatch Legendary Edition für 18,99€, No Man's Sky für 20,99€, Star Wars Jedi...
  4. (aktuell u. a. Asus VG248QZ Monitor für 169,90€, Edifier R1280DB Lautsprecher 99,90€)

Deamon 17. Mär 2004

Spiel ein bischen im Sandkasten mit einem Bagger ... Vieleicht hilft´s !

Steve 16. Mär 2004

ok ok, vergesst es, hab grad bei symantec gelesen dass der auch als Bagle bekannt ist

Steve 16. Mär 2004

ich dachte immer Bagle wär was zu essen aus Amerika, ihr meint wohl Beagle - ja ich wei...

Stereoide 16. Mär 2004

Dann mußt Du den Leuten aber noch beiprügeln, sich nicht als Administrator bzw. mit...

Provider 16. Mär 2004

Hi, natürlich ist es möglich Texte in Bildern zu verstecken. Bei diesem Virus geht es...


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  2. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt
  3. Kabelnetz Die Marke Unitymedia wird verschwinden

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /