Mail-Wurm droht mit Gerichtsverfahren

Eine neue Variante des Bagle-Wurms versucht es mit einer juristischen Masche.

Wenn Sie eine Mail erhalten, die Ihnen auf Englisch mit einem Anwalt droht, könnte es sich um eine Masche des neuesten Vertreters der Wurmfamilie "Bagle" handeln. Dieser Wurm sendet Mails, deren Betreff und Inhalt die Empfänger mit einer Drohung zum Öffnen des virulenten Anhangs verleiten soll.

Die Mails kommen mit einem Betreff wie "Pay your debts before we come to you", "Call to your lawer immidiately", "Lawsuit against you" oder "We wait your response." Der Text beginnt jeweils mit dem Satz "LAWSUIT AGAINST YOU (ATTACHMENT HAS MORE INFORMATION)". Der Anhang trägt Dateinamen wie "lawsuit.exe", "explanation.exe" oder "documents.exe".

Wird der Anhang geöffnet, legt er eine Kopie von sich im System-Verzeichnis von Windows an (das ist üblicherweise C:\Windows\System32), die den Dateinamen "win32lib.exe" trägt. Weitere Kopien werden an gleicher Stelle mit den Namen "win32lib.exeopen" und "win32lib.exeopenopen" angelegt und enthalten zusätzlichen Datenmüll.

Damit der Schädling bei jedem Start von Windows automatisch geladen wird, trägt er sich in die Registry ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run win_shell = C:\Windows\System32\win32lib.exe

Er durchsucht eine Reihe von Dateitypen nach Mail-Adressen und sammelt diese in der Datei "vcremoval.dll" im Windows-Verzeichnis. Der Bagle-Wurm versucht, von diversen Webservern weitere Trojanische Pferde herunterzuladen. Außerdem verbreitet er sich auch über P2P-Netze wie zum Beispiel Kazaa, Bearshare oder Limewire, indem er sich mit verschiedenen, verheißungsvollen Dateinamen in die Download-Verzeichnisse kopiert.

Der Wurm enthält eine eigene Mail-Routine, mit der er Mails der oben beschriebenen Art an die gesammelten Mail-Adressen versendet. Die Verbreitung wird von Antivirus-Firmen als eher gering eingestuft.

Erkennung und weitere Informationen:

Antivirus

Malware-Name

AntiVir

Worm/Bagle.FT

CA

Win32/Bagle.EA

McAfee

W32/Bagle.dy@MM

Sophos

W32/Bagle-DO

Symantec

W32.Beagle.DX@mm

Trend Micro

WORM_BAGLE.DQ

(PC-Welt/mja)