Bagle.X ist unterwegs

Während frühere Bagle-Varianten Sicherheitsschwachstellen im Internet Explorer ausnutzen, um den Wurm-Code automatisch ausführen zu lassen, setzt Win32/Bagle.X auf Social Engineering und versucht einen bekannten Absender vorzugaukeln.

Das jüngste Mitglied der W32/Bagle-Wurmfamilie verbreite sich über Massen-E-Mails sowie öffentliche Netzwerk-Ordner. An die E-Mail können zwei Dateien angehängt sein. Neben einer JPG-Datei beinhalte die infizierte E-Mail eine Kopie des Wurms. Diese Datei könne die Endungen .com, .exe, scr. oder .zip aufweisen.

Nach Erkenntnissen von Trend Micro wird die Mail-Domain des Empfängers zu diesem Zweck in die Absender-Adresse aufgenommen, um so den Eindruck zu erwecken, die Nachricht stamme von einem Kollegen. Gefährdet sind Computer mit Betriebsystem Windows.

Für die Absenderadresse der E-Mail verwende Bagle.X alias W32/Bagle.z@MM oder Win32/Bagle.W die Namen "Annie", "Christina", "Jessie" oder "SecretGurl" in Kombination mit der Domain des Empfängers. Die Betreffzeile enthalte unterschiedlichen Text, darunter "Let´s socialize, my friend!" oder "I´m bored with this life".

Nach dem Start kopiert sich Bagle.X mit dem Dateinamen drvsys.exe in den Windows-Systemordner und startet sich selbst. Zudem fügt der Wurm der Registry verschiedene Einträge hinzu, um bei jedem Neustart ausgeführt zu werden. Darüber hinaus kopiert sich Bagle.X zur Verbreitung in Verzeichnisse, die die Zeichenfolge "shar" in ihren Namen enthalten. Dabei versuche der Wurm den Eindruck zu erwecken, dass es sich um Downloads von gecrackter Software oder auch Video-Dateien handelt. Zu den verwendeten Namen gehören unter anderem "Matrix 3 Revolution" und "Microsoft Office 2003 Crack". Um eine Entdeckung zu verhindern, versuche Bagle.X zudem, laufende AntiViren-Prozesse zu beenden.

Zur Vermehrung durchsucht W32/Bagle-W alle Laufwerke nach Dateien mit Endungen wie .txt, .htm, .xml, .php und .dhtm und zieht aus diesen E-Mail-Adressen, die für die Massmailing-Komponente des Wurms verwendet werden.

Bagle.X ist laut Trend Micro bislang aus Frankreich, Großbritannien, Lateinamerika und den USA gemeldet worden. Nach Angaben des Herstellers erkennen AntiViren-Lösungen von Trend Micro Bagle.X ab Pattern-File 869 und Scan-Engine 6.500 den Schädling.

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie in unserem tecCHANNEL-Compact "IT-Security", das Sie online für 4,90 Euro als PDF herunterladen können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads