Warnung: Rechner vermutlich von Bagle-Wurm infiziert
Der Wurm: Schadfunktionen
Nach dem Start löscht der Wurm zunächst in der Registry des Rechners eventuell vorhandene Autostart-Einträge gängiger Antiviren-Programme, um diese dauerhaft auszuschalten. Zudem versucht er alle im Speicher laufenden Antiviren-Scanner-Prozesse zu beenden, um die Schutzsoftware auszuhebeln.
Anschließend legt der Wurm seine Schaddateien auf der Festplatte ab. Die Wurm-Dateien landen im System-Verzeichnis des Rechners, meist also in C:\\Windows\\System. Zu den schädlichen Files gehören unter anderem:
Drvddll.exe
Drvddll.exeopen
Drvddll.exeopenopenopen als .JPG, .GIF oder .BMP
Drvddll.exeopenopenopenopen, eine Textdatei mit sechs zufälligen Zeichen
Um bei jedem Rechnerstart erneut geladen zu werden, trägt sich der Wurm unter dem Schlüssel
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
mit dem Wert
"Drvddll_exe"="%system%\\drvddll.exe"
in die Registry ein.
Anschließend öffnet der Wurm auf Port 2535/tcp eine Backdoor, über die ein externer Angreifer den Rechner kontrollieren kann.
Anmerkung: Ob Ihr Rechner auf dem genannten Port auf Verbindungen wartet, können Sie in einem DOS-Fenster mit dem Befehl "netstat -a -p tcp" prüfen. Ist die Backdoor installiert, meldet netstat für den Port den Status "ABHÖREN" (Backdoor wartet) oder "HERGESTELLT" (Backdoor ist gerade aktiv).