Bagle.b ist unterwegs

Virenspezialist Kaspersky warnt vor einer neuen Variante des Wurms Bagle. "Bagle.b" verbreitet sich per Mail-Anhang und öffnet auf infizierten PCs den Port 8866.

Die 11 KByte große EXE-Datei hängt an einer Mail mit dem teils zufällig generierten Subjekt "ID&#1093" und enthält den Text "Yours ID x... Thank", wobei "x" ein beliebiges Zeichen sein kann. Beim Öffnen der Datei kopiert sich Bagle.b in den Autostart-Ordner. Dabei initiiert der Wurm nach Erkenntnissen von Kaspersky zur Tarnung das Windows-Utility "Sound Recorder" (sndrec32.exe). Der Versuch, Verbindung mit Seiten herzustellen, die zum Trojaner "TrojanProxy.Win32.Mitglieder" führen, scheitert allerdings. Diese Seiten sind laut Kaspersky alle gelöscht.

Gefährlich ist der Schädling jedoch vor allem durch die enthaltene Trojaner-Komponente. Auf dem infizierten PC öffnet diese den Port 8866 und erlaubt somit das Fernsteuern des PCs und das Ausführen von Code.
Um sich zu vermehren, geht Bagle.b ähnlich wie sein Vorgänger vor. Der Wurm scannt das betroffene System nach Dateien mit den Erweiterungen "wab, txt, htm, html, rl" und versendet sich an alle im Adressverzeichnis enthaltenen E-Mail-Adressen. Nach Einschätzungen des Virenexperten sind derzeit über 2000 Rechner mit Bagle.b infiziert. Der Wurms beendet seine Vervielfältigung am 25. Februar, was für Kaspersky auf eine neue Variante zu diesem Zeitpunkt hindeutet. Unser Virenticker informiert Sie über derzeit kursierende Viren. (bsc)