Bagle.AF funktioniert Windows-PCs zu Spam-Relays um

Eine weitere Inkarnation des Bagle-Wurms macht derzeit per E-Mail die Runde: Bagle.AF. Die Hersteller von Antivirensoftware haben aufgrund der steigenden Zahl von Infektionen bereits Warnungen herausgegeben. Eigentlich funktioniert Bagle.AF wie die bisherigen Mitglieder der Bagle-Familie. Nur die in englisch verfassten Betreffzeilen, Nachrichtentexte und die Namen der Attachments variieren. Offenbar reichen aber schon solch kleine Änderungen aus, um eine Vielzahl von Anwendern nicht misstrauisch werden zu lassen. Nach dem Öffnen des Dateianhangs, was teilweise sogar die Eingabe eines mitgesendeten Passwortes verlangt, installiert sich der Mass-Mailing-Wurm und versucht zahlreiche lokal arbeitende Firewalls und Virenscanner zu stoppen.

Zudem nimmt er mit mehreren deutschen Webseiten Kontakt auf, wahrscheinlich, um Code nachzuladen. Zudem öffnet er mehrere Hintertürchen, unter anderem den TCP-Port 1080, der nach Angaben von Antiviren-Herstellern als Spam-Relay-Port arbeiten soll. Von infizierten PCs versendet er sich im Anhang einer Mail an weitere Rechner. Die Hersteller haben neue Virensignaturen zum Schutz bereitgestellt.

Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.

Zu Details über Bagle.AF und für gezielte Hinweise zur Reinigung infizierter Systeme siehe:

• Wurmbeschreibung des BSI
• Wurmbeschreibung von Symantec
• Wurmbeschreibung von Trend Micro

Auch Bagle.AF macht sich zunutze, dass der Großteil der Windows-Anwender mit Administratorrechten arbeitet und so den vollen Zugriff auf das System hat. Wie man mit eingeschränkten Nutzerrechten arbeitet, um Schädlinge aus dem System herauszuhalten, damit beschäftigt sich das Titelthema in der aktuellen c't-Ausgabe: (dab)

• Sicher durch Verzicht, Administratorrechte unter Windows, c't 15/04, S. 106
• Das Sicherheitskonzept von Windows, c't 15/04, S. 110
• Stressfrei ohne Admin-Rechte, c't 15/04, S. 118