Bagle-Wurm setzt abermals zum Angriff an
Neuer Bagle-Wurm verbreitet sich stark
Nach längerer Ruhephase verbreitet sich abermals ein weiterer Ableger des Bagle-Wurms im Internet stark, nachdem die in den vergangenen Monaten anderen entdeckten Bagle-Varianten nur eine mittelmäßige Verbreitung erreichten. Der neue Bagle-Wurm vermehrt sich wie seine Vorgänger per E-Mail sowie über Peer-to-Peer-Netzwerke. Auf befallenen Systemen öffnet er eine Hintertür, über die sich ein befallener Rechner zur Spam-Verbreitung missbrauchen lässt.
Der aktuelle Bagle-Wurm weist bei den verschiedenen Herstellern von Antiviren-Software eine unterschiedliche Zählung auf, so dass er entweder Bagle.AU, Bagle.AY, Bagle.AZ oder auch Bagle.BJ heißt. Bei der Verbreitung per E-Mail steckt der polymorphe Wurm-Code wie üblich im Anhang, der wechselnde Namen trägt und auf exe, scr, com oder cpl endet. Mit einem entsprechenden englischsprachigen E-Mail-Text versucht der Wurm, die Nutzer zum Öffnen des Anhangs zu bringen, indem eine Software versprochen wird. Sowohl Betreffzeile als auch Nachrichtentext bestehen aus wechselnden englischsprachigen Texten.
Wie üblich bei derartigen E-Mail-Würmern werden die E-Mails mit gefälschtem Absender verschickt, so dass dieser keinen Aufschluss über den Urheber gibt. Der aktuelle Schädling sammelt E-Mail-Adressen, indem zahlreiche lokale Dateien nach Adressen durchsucht werden, und versendet sich über eine eigene SMTP-Engine. Zudem öffnet der Schädling den Port 81, worüber ein Angreifer ein infiziertes System als E-Mail-Versender für die Verbreitung von Spam missbrauchen kann.
Als weiteren Verbreitungsweg versucht sich der Wurm Peer-to-Peer-Netzwerke zu Nutze zu machen, indem er sich unter verschiedenen Dateinamen in Verzeichnisse ablegt, welche die Bezeichnung "shar" tragen. Wurde der Wurm aktiviert, trägt er sich so in die Registry ein, dass er bei jedem Windows-Neustart geladen wird. Außerdem beendet der Schädling laufende Virenscanner, Software-Firewalls oder andere Sicherheits-Software und löscht in einigen Fällen auch entsprechende Registry-Einträge. Ab dem 25. April 2006 beendet sich dieser Bagle-Wurm automatisch und deinstalliert sich von dem System.
Die Hersteller von Virenscannern bieten bereits aktualisierte Signaturdateien zur Erkennung des aktuellen Bagle-Wurms an.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Hat das irgendeine Bedeutung mit dem 25. April 2006? Oder mit dem ganzen Zeug hier...