Original-URL des Artikels: https://www.golem.de/0403/30259.html    Veröffentlicht: 15.03.2004 12:31    Kurz-URL: https://glm.io/30259

Neue Bagle-Variante macht Virenscannern das Leben schwer

Kennwörter für verschlüsselte Archive werden als Grafik an Wurm-Mail angefügt

Seit der erste Bagle-Wurm aufgetaucht ist, sind bereits zahlreiche Abarten des Wurms erschienen. Seit dem Wochenende treibt eine neue Variante des Unholds im Internet ihr Unwesen, indem Virenscannern eine Erkennung einer Wurm-E-Mail erschwert wird. Die Kennwörter von verschlüsselten Archiven werden nicht mehr als Text in der E-Mail abgelegt, sondern als Grafikdatei an die E-Mail gehangen. Der Wurm besitzt zudem eine Viren-Schadroutine, die EXE-Dateien infiziert.

Der Wurm Bagle.N verbreitet sich unter anderem per E-Mail, wobei der Wurm-Code sich in einer komprimierten ZIP-Datei oder einem RAR-Archiv verbergen kann. Während frühere Bagle-Varianten die Kennwörter zum Entpacken des Wurm-Archivs im Klartext in den E-Mail-Text geschrieben haben, fügt Bagle.N oft eine Grafikdatei mit dem Kennwort an die E-Mail an, was die Erkennung eines Wurm-Anhangs für Virenscanner erschwert. Für E-Mail-Würmer war es bislang unüblich, dass Virentechniken verwendet werden, wie sie Bagle.N nun nutzt: Der Schädling setzt sich auf einem befallenen System fest, indem er EXE-Dateien infiziert und den Wurm-Code an diese anhängt, so dass der Unhold beim Start entsprechender Programme geladen wird.

Über einen entsprechenden, englischsprachigen Mail-Text versucht Bagle.N ein Opfer zum Öffnen des Mail-Anhangs zu bewegen, indem so getan wird, als wenn der Anhang Informationen bezüglich des Mail-Kontos enthalte. Sowohl Betreffzeile als auch Nachrichtentext werden aus einem Fundus an Textbausteinen zusammengesetzt. Wie üblich wird die Absenderadresse gefälscht, so dass der Urheber der Wurm-Verbreitung nicht auszumachen ist.

Zur Verbreitung durchsucht der Wurm die lokale Festplatte in zahlreichen Dateien nach E-Mail-Adressen und versendet sich an diese. Außerdem legt sich der Wurm mit unterschiedlichen Dateinamen in Verzeichnissen ab, deren Namen die Bezeichnung "shar" enthalten, um sich über P2P-Netzwerke wie KaZaA zu vermehren. Wurde der Wurm aktiviert, trägt er sich so in die Registry ein, dass er zusätzlich zur Infektion von EXE-Dateien bei jedem Windows-Neustart geladen wird.

Als weitere Schadroutine beendet Bagle.N etliche laufende Virenscanner, Software-Firewalls oder andere Sicherheits-Software, um ungestört seine Ziele zu verfolgen. Zudem öffnet der Wurm den TCP-Port 2556, worüber ein Angreifer Programmcode auf ein fremdes System einschleusen kann.  (ip)


Verwandte Artikel:
Warnung: Starke Wurm-Epidemie findet kein Ende (Update)   
(03.03.2004, https://glm.io/30064 )
Ableger des Bagle-Wurms durchstreifen das Internet   
(01.03.2004, https://glm.io/30013 )
Wurm gibt sich mit deutschem Text als Microsoft-Patch aus   
(08.03.2004, https://glm.io/30130 )
Wurm Netsky.B verbreitet sich rasant im Internet   
(18.02.2004, https://glm.io/29827 )
AOL blockiert ICQ-Wurm Bizex   
(26.02.2004, https://glm.io/29960 )

© 1997–2020 Golem.de, https://www.golem.de/