Bagle.BB im Umlauf

Bagle.BB kommt per E-Mail als angehängte Datei und trägt den Namen "doc_01.exe". Anders als die gängigsten E-Mail-Würmer versendet die neue Bagle-Variante keine E-Mails, sondern legt bei der Ausführung die Dateien "winshost.exe" und "wiwshost.exe" ab. Auf dem befallenen System deaktiviert der Schädling zahlreiche Virenschutz- und Sicherheits-Tools und überschreibt HOSTS-Dateieinträge wie "127.0.0.1 mcafee.com", "127.0.0.1 liveupdate.symantecliveupdate.com" oder "127.0.0.1 f-secure.com", um den Zugang zu Virenschutz-Sites zu unterbinden.

Nach Beobachtungen des Antiviren-Experten F-Secure wird Bagle.BB seit Dienstag massiv versendet. Der Anhang der Mail heißt "doc_01.exe" und enthält eine Downloader-Komponente. Baggle.BB ist damit kein typischer Wurm.

Die Downloader-Komponente versucht laut F-Secure zudem von Download-Sites wie "artek.org" oder "pageantpage.com" die ausführbare Datei "zo2.jpg" herunterzuladen, die dort aber derzeit (noch) nicht hinterlegt sei. Schließlich manipuliert Bagle.BB einige Registrierungsschlüssel, die in Zusammenhang mit der Windows-BITS-Technologie stehen. Dabei handelt es sich nach Angaben von F-Secure um die "Background Intelligent Transfer Services", die vom Windows Update Service genutzt werden.

Ein Update zum Schutz vor Bagle.BB hat F-Secure seiner Virendefinitions-Datenbank bereits hinzugefügt. Von den anderen Antiviren-Experten ist das in der Regel wohl auch noch zu erwarten. (bsc)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.