Bagle-Wurm: Neue Variante verbreitet sich stark

Der Wurm Bagle.AB verbreitet sich unter anderem per E-Mail, wobei sich der Wurm-Code wie üblich im Anhang der E-Mail verbirgt. Unter wechselnden Namen kann es sich dabei um eine exe-, scr-, hta-, vbs-, com-, cpl- oder auch zip-Datei handeln. Im Falle einer Zip-Datei kann diese zudem mit einem Kennwort geschützt sein, das in der E-Mail als Grafikdatei integriert ist. Mit einem entsprechenden englischsprachigen E-Mail-Text versucht der Wurm, die Nutzer zum Öffnen des Anhangs zu bringen, indem vertrauliche Informationen im Anhang versprochen werden. Sowohl Betreffzeile als auch Nachrichtentext werden aus einem Fundus an englischsprachigen Textbausteinen zusammengesetzt.

Wie üblich bei derartigen E-Mail-Würmern werden die E-Mails mit gefälschten Absendern verschickt, so dass dieser keinen Aufschluss über den Urheber gibt. Bagle.AB sammelt E-Mail-Adressen, indem zahlreiche lokale Dateien nach entsprechenden Adressen durchsucht werden. Den Versand übernimmt der Wurm selbst über eine eigene SMTP-Engine.

Als weiteren Verbreitungsweg versucht sich der Wurm Peer-to-Peer-Netzwerke zu Nutze zu machen, indem er sich unter verschiedenen Dateinamen in Verzeichnisse ablegt, welche die Bezeichnung "shar" enthalten. Wurde der Wurm aktiviert, trägt er sich so in die Registry ein, dass er bei jedem Windows-Neustart geladen wird.

Als weitere Schadroutine beendet Bagle.N etliche laufende Virenscanner, Software-Firewalls oder andere Sicherheits-Software, um ungestört seiner Arbeit nachgehen zu können. Zudem öffnet der Wurm den TCP-Port 1080, worüber ein Angreifer ein infiziertes System als E-Mail-Versender missbrauchen kann, um darüber etwa Spam zu versenden. Falls das Systemdatum des Rechners den 25. Januar 2005 überschreitet, deaktiviert sich der Wurm selbsttätig.

Die Hersteller von Virenscannern bieten bereits aktualisierte Signaturdateien zur Erkennung von Bagle.AB an.