Neue Bagle-Varianten mit Rootkit-Funktionen aufgetaucht

Mehrere Antivirushersteller melden das Auftauchen neuer Varianten des Bagle-Wurms. Die bereits erschienenen Muster lassen auf weitere Bagle-Würmer mit verschiedenen Funktionen schließen.

Panda nennt die Bagle-Varianten "HX", "HY" und "HZ". Bei F-Secure laufen sie unter dem Namen "Bagle.GE" und "Bagle.GF", McAfee nennt sie "W32/Bagle.ea" und bei Symantec heißen sie "W32.Beagle.DZ". Die Varianten sind mit Rootkit-Eigenschaften, die ihnen das Ausführen von versteckten Aktivitäten ermöglichen, ausgerüstet. Die Verbreitung erfolgt per Mail. Wird der Anhang ausgeführt, lädt er weitere Komponenten aus dem Internet.

Daraufhin wird eine Kopie des Schädlings mit dem Dateinamen "hidr.exe" sowie ein Rootkit-Treiber mit dem Dateinamen "m_hook.sys" im Verzeichnis "Application Data\hidires" im Profil des angemeldeten Benutzers abgelegt. Der Wurm erstellt Registry-Einträge, über die die Komponenten beim Start von Windows geladen werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"drvsyskit" = "Documents and Settings\%UserName%\Application Data\hidires\hidr.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook"ImagePath" = "Documents and Settings\%UserName%\Application Data\hidires\m_hook.sys"

Rootkits sind Programme, die zum Verbergen von Prozessen, wie Datei-Veränderungen oder Einträge in der Windows Registry, entwickelt werden. Sie sind in der Lage, nicht nur ihr Treiben auf dem befallenen Rechner zu vertuschen, sondern sogar ihre Anwesenheit. (mth)

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner