Neue Varianten des Bagle-Wurms im Umlauf [Update]
Seit dem Wochenende verbreiten sich fünf neue Varianten des Bagle-Wurms.
Nachdem vor zwei Wochen bereits eine erste Variante des Bagle-Wurms aufgetaucht ist, sind am vergangenen Wochenende gleich fünf neue Varianten entdeckt worden. Network Associates führt diese als Bagle.c bis Bagle.g in der Datenbank. Die neuen Varianten unterscheiden sich in ihrer Funktionsweise nicht von den Vorgängern, die Trägermails kommen aber jeweils mit unterschiedlichen Betreffzeilen und Attachment-Namen ins Haus. Die Größe des Dateianhangs variiert ebenfalls.
Wie schon die Sobig-Würmer enthalten die Bagle-Varianten c bis g ein Ablaufdatum: Ab dem 25. März 2004 stellen die Schädlinge ihre Verbreitung ein. Führt der Anwender das Attachment aus, infiziert der Wurm den lokalen Rechner, indem er verschiedene Dateien im Windows-Systemverzeichnis anlegt und sich in der Windows-Registry als Autostart-Eintrag verewigt. Ferner öffnet er eine Hintertür auf Port 2745 und versucht, Komponenten aus dem Internet nachzuladen. Ist der Schädling aktiv, versucht er zusätzlich, die Update-Prozesse von installierten Virenscannern abzuschießen, sodass keine aktuellen Virensignaturen heruntergeladen werden können.
Einige dieser Bagle-Varianten verbreiten sich mittlerweile recht schnell, Network Associates führt die c- und e-Varianten bereits auf der Risikostufe "mittel". Antivirus-Software sollte die neuen Varianten mittlerweile erkennen und infizierte Mails abfangen können. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antivirus-Seiten von heise Security.
Update:
Einige Bagle-Versionen bedienen sich eines neuen Tricks, um Antiviren-Software auszutricksen: Sie verschlüsseln das angehängte ZIP-Archiv, sodass beispielsweise der Kaspersky-Virenscanner den infizierten Anhang nicht mehr erkennt. Um sich zu infizieren, muss der Empfänger dann nicht nur die ZIP-Datei und die eingepackte Datei öffnen, sondern auch noch das in der Mail aufgeführte Passwort eingeben. NAI behauptet, dass ihre Signatur-Datei auch eine Kennung für die verschlüsselten ZIP-Archive enthalte.
(pab)
