Bagle.N: Wurm-Virus mit neuen Tricks
Die jüngste Variante des Bagle-Schädlings infiziert ausführbare Dateien mit einer polymorph verschlüsselten Version von sich selbst und ist damit ebenso ein klassischer Virus.
Der als Bagle.M oder Bagle.N bezeichnete Windows-Schädling bringt neue Methoden mit, um den Virenscannern die Arbeit zu erschweren. Vom Grundprinzip unterscheidet sich die neue Bagle-Variante nicht von seinen Vorgängern: Er verbreitet sich über die Peer-to-Peer-Tauschbörse Kazaa sowie via E-Mail und verwendet dabei verschiedene englischsprachige Texte, die den Anwender dazu verleiten sollen, das Attachment auszuführen. Führt der Anwender die infizierte Datei oder den Mail-Anhang aus, öffnet der Schädling eine Hintertür auf Port 2556 und versucht, diverse Virenscanner und Personal Firewalls abzuschießen. Er verschickt sich unter anderem wieder als passwortverschlüsseltes Archiv, allerdings kommen bei der N-Variante neben zip- auch rar-Archive zum Einsatz. Einige Virenscanner haben die Passwörter zu den Archiven aus dem Mailtext extrahiert und so das Archiv entschlüsselt. Das klappt mit der neuen Variante nicht mehr so einfach, da sie das Passwort nicht in Textform preisgibt, sondern in eine der Mail angehängten Bild-Datei (.gif) schreibt. Mit den Problemen von verschlüsselten Schädlingen befasst sich auch der aktuelle Kommentar auf heise Security, Verschlüsselung als Sicherheitsproblem.
Zusätzlich ist Bagle.N einer der wenigen modernen Schädlinge, die tatsächlich der Bezeichnung Virus gerecht werden, denn neben den üblichen Dateien (diesmal "WINUPD.EXE"), die der Schädling bei Infektion des Systems hinterlegt, infiziert die neue Variante auch ausführbare Dateien. Das bedeutet einerseits, dass bei einer Infektion des Systems auch gleich alle installierten Programme betroffen sind. Andererseits verwendet der Schädling eine polymorphe (also sich stets ändernde) Verschlüsselung, wenn er exe-Dateien befällt, was die Erkennung kniffliger macht. Dirk Kollberg von Network Associates bestätigte gegenüber heise Security, dass der McAfee-Virusscanner mit den aktuellen Signaturdateien solch befallene .exe-Dateien wieder desinfizieren kann.
Wie schon bei früheren Varianten ist auch bei Bagle-N wieder eine Botschaft an die NetSky-Autoren enthalten; diesmal gab man sich allerdings nicht mit einer bloßen Textnachricht im Schädlingscode zufrieden, sondern hat gleich dazu ein .jpg-Bild mit einkodiert, das die Textbotschaft mit dem Screenshot einer ASCII-Zeichnung untermalt.
Network Associates führt den Schädling bereits auf der Risikostufe "mittel", was darauf hindeutet, dass schon etliche Exemplare des Schädlings im Umlauf sind. Anwender sollten also mal wieder ihre Virensignaturen aktualisieren, falls nicht bereits geschehen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.
Siehe dazu auch: (pab)
- Viren-Info W32.Beagle.M@mm vom BSI
