Neue Bagle-Varianten kommen in zwei Teilen

Ungemach rollt derzeit in Form von neuen Bagle-Varianten weltweit auf Anwender zu. Bagle.BB, BC, BD und BE erreichen den Windows-PC als gezippte Anhänge in E-Mails. Wie schon einige Vorgängerversionen besteht der neue Schädling eigentlich aus einer Trojaner- und einer Wurmkomponente. Der Trojaner (TROJ_BAGLE) in der ZIP-Datei versucht beim Start den Wurm (WORM_BAGLE) von bestimmten Servern aus dem Internet nachzuladen und auszuführen. Der Wurm wiederum enthält eine eigene SMTP-Engine, um den Trojaner als E-Mail-Anhang zu verschicken.

Nach Angaben der Hersteller von Antivirensoftware ist die Wurmkomponente zur Zeit aber so gut wie auf keinem Server hinterlegt und daher auch wenig verbreitet. Denkbar ist, dass die Urheber des Trojaner statt der Wurmkomponente eine Backdoor-Komponente auf den Servern hinterlegen, die Windows-PCs beispielsweise in Spam-Proxies umfunktionieren. Zumindest der Bagle-Trojaner wurde am heutigen Dienstagmorgen erfolgreich über diverse Spam-Mailinglisten verteilt und von zahlreichen ahnungslosen Anwendern in Betrieb genommen.

Für das Nachladen der Wurm-Komponente missbraucht der Trojaner den Windows Explorer mittels DLL-Injection. Für den Anwender und eine Personal Firewall sieht es damit so aus, als würde nicht der Trojaner, sondern der Explorer die Datei aus dem Netz nachladen. Zudem versucht der Schädling Sicherheitsprogramme auf dem Windows-PC lahmzulegen. Unter anderem verhindert er auch Updates der Programme über das Netzwerk, in dem er die HOSTS-Datei manipuliert.

Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

Siehe dazu auch: (dab)

• Beschreibung TROJ_BAGLE.BE von Trend Micro
• Beschreibung WORM_BAGLE.BE von Trend Micro
• Beschreibung Bagle.BB von F-Secure