Neue Bagle-Variante ist unterwegs

Sicherheitsexperten warnen vor einer neuen Version des Bagle-Wurms namens W32/Bagle.aq alias Win32/Bagle.AG. Auf dem befallenen System legt der jüngste Sprössling der mitgliederstarken Bagle-Familie die vorhandenen Antiviren-Schutzprogramme lahm.

Ähnlich wie seine Vorgängerversionen verfügt der E-Mail-Wurm W32/Bagle.aq zur Vermehrung über eine eigene SMTP-Engine und verschickt sich mit einem gefälschten Absender an die E-Mail-Adressen, die in Dateien mit Erweiterungen wie .txt, .htm, .xml, gespeichert sind. Der Schädling kommt laut McAfee als angehängtes ZIP-Dokument und beinhaltet die "Dateien Price.exe" und "Price. html". Alternativ versende sich der Schädling als kennwortgeschützte ZIP-Datei. In diesem Fall befindet sich das benötigte Password im Text der E-Mail.

Auf dem befallenen Rechner kopiere sich Bagle.aq in den Windows-Systemordner als "windirect.exe" und in alle Ordner, die "shar" in ihren Verzeichnisnamen enthalten. Anders als einen Vorgänger erstellt der Wurm in einem weiteren Schritt eine DLL-Datei in das _dll.exe-Verzeichnis, die dann im Explorer.exe injiziert wird. Dies ermögliche es Bagle.aq, sich hinter dem Internet Explorer zu verstecken und damit die auf dem infizierten Rechner installierte Antiviren-Software und Firewalls auszutricksen und so über einen Remote-Zugang unbemerkt manipulierte Dateien herunterzuladen.

Einmal ausgeführt bedient sich der Wurm des TCP-Ports 80, öffnet den UDP-Port und macht das befallene System für Angriffe zugänglich. Der Schädling versucht dann über verschiedene Websites ein PHP-Skript auszuführen und präparierte Dateien herunterzuladen.

Nach Beobachtungen der Sicherheitsexperten von Computer Associates werden diese zur Tarnung während des Downloads umbenannt - so werden EXE-Dateien beispielsweise als JPG-Bilder heruntergeladen. Einmal auf dem Rechner gelandet, erhalten die manipulierten Dateien ihren ursprünglichen Namen wieder.

Bagle.ai beende zudem eine Reihe von Prozessen, die zu den Sicherheitsprogrammen wie Norton Antivirus und Kaspersky gehören. Aber auch Prozesse, die von konkurrierenden Schädlingen - wie Netsky - gestartet wurden, versucht Bagle zu beenden. Hinweise zum Erntfernen des Bagle-ai-Wurms finden Sie zum Beispiel hier bei McAfee. Die aktuellen Signaturen der Antivirenexperten sollten Bagle.aq erkennen.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads