W32/Bagle.ai- Neue Variante kursiert

Bagle.ai kommt laut Sophos als angehängte Datei mit unterschiedlichen Namen wie "MP3", "Music_MP3", "Dog" oder "Fish". Diese tragen die Endungen CPL, SCR, EXE, COM oder ZIP. Die ZIP-Datei könne eine Bilddatei mit einem zufälligen Namen und einer JPEG-Erweiterung enthalten.

Nach Erkenntnissen des Antivirespezialisten versendet sich der Schädling alternativ als kennwortgeschützte ZIP-Datei. In diesem Fall befindet sich das benötigte Password im Text der E-Mail. Scheinbar klappt auch diese Methode, die vor dem Öffnen auch noch die Eingabe eines Passworts verlangt, um den Nutzer neugierig zu machen. Im Nachrichtentext seien ansonsten Einträge wie "foto3", "MP3 fotogalary", "Music, animals oder "predators" zu lesen.

Auf dem befallenen System kopiert sich Bagle.ai als winxp.exe in den Windows-Systemordner und in alle Ordner, die "shar" in ihren Verzeichnisnamen enthalten. Der Wurm versuche zudem, Registrierungseinträge für mehrere Sicherheits- und Antiviren-Programme zu löschen. Dabei entfernt Bagle.ai Anwendungen wie Antivirus und Special Firewall Service, sowie Norton Antivirus AV und KasperskyAVEng aus dem Ordner "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

Zu Vermehrung verfügt auch der jüngste Sprössling der Bagle-Familie über eine eigene SMTP-Engine. Er verschickt sich an E-Mail-Adressen, die in Dateien mit Erweiterungen wie TXT, HTM, XML, gespeichert sind.

Nach Angaben von MessageLabs hat der Wurm bereits über 17.000 Arbeitsplätze befallen. Hinweise zum Erntfernen des Bagle-ai-Wurmes finden Sie zum Beispiel hier bei Sophos. Die aktuellen Signaturen der Antivirenexperten sollten Bagle.ai erkennen.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (bsc)