Warnung: Rechner vermutlich von Bagle-Wurm infiziert

Der Wurm: Schadfunktionen

Nach dem Start löscht der Wurm zunächst in der Registry des Rechners eventuell vorhandene Autostart-Einträge gängiger Antiviren-Programme, um diese dauerhaft auszuschalten. Zudem versucht er alle im Speicher laufenden Antiviren-Scanner-Prozesse zu beenden, um die Schutzsoftware auszuhebeln.

Anschließend legt der Wurm seine Schaddateien auf der Festplatte ab. Die Wurm-Dateien landen im System-Verzeichnis des Rechners, meist also in C:\\Windows\\System. Zu den schädlichen Files gehören unter anderem:

• Drvddll.exe

• Drvddll.exeopen

• Drvddll.exeopenopenopen als .JPG, .GIF oder .BMP

• Drvddll.exeopenopenopenopen, eine Textdatei mit sechs zufälligen Zeichen

Um bei jedem Rechnerstart erneut geladen zu werden, trägt sich der Wurm unter dem Schlüssel

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

mit dem Wert

"Drvddll_exe"="%system%\\drvddll.exe"

in die Registry ein.

Anschließend öffnet der Wurm auf Port 2535/tcp eine Backdoor, über die ein externer Angreifer den Rechner kontrollieren kann.

Anmerkung: Ob Ihr Rechner auf dem genannten Port auf Verbindungen wartet, können Sie in einem DOS-Fenster mit dem Befehl "netstat -a -p tcp" prüfen. Ist die Backdoor installiert, meldet netstat für den Port den Status "ABHÖREN" (Backdoor wartet) oder "HERGESTELLT" (Backdoor ist gerade aktiv).