Trend Micro: Warnung vor neuem Internetwurm

Während der Internetwurm Sober.C nach wie vor aktiv ist und über deutschsprachige E-Mails versucht, den Anschein vertrauensvoller E-Mails zu erwecken, warnen zahlreiche Hersteller von Anti-Viren-Software nun vor einem neuen Schädling mit dem Namen Bagle.A bzw. Bagle.B. Die H+BEDV Datentechnik GmbH, Hersteller der AntiVirus-Software AntiVir, spricht von einer mittleren Verbreitung, Trend Micro aus den USA hingegen hat bereits einen "Yellow Alert" ausgelöst. In den E-Mail-Postfächern der teltarif-Redaktion ist der neue Wurm bereits mehrfach aufgeschlagen.

Bagle bedroht einmal mehr Rechner, auf denen eines der gängigen Betriebssysteme aus dem Hause Microsoft läuft. Einmal ausgeführt kopiert sich Bagle in das Windows Systemverzeichnis, durchsucht lokale Festplatten nach Email Adressen und verschickt sich an diese über eine eigene SMTP-Maschine weiter. Die E-Mails, über die sich der Wurm weiterzuverbreiten versucht, sind relativ einfach zu erkennen. In der Betreffzeile steht ein einfaches "Hi", in der eigentlichen E-Mail der Text "Test =)", anschließend eine Kette an mehreren zufälligen Zeichen und am Ende ein "Test, yep". Als Dateianhang wird eine .exe-Datei mit zufällig ausgewählten Namen mitgeschickt.

Bei der B-Variante kopiert sich der Wurm in das Windows Systemverzeichnis als BBEAGLE.EXE und führt als Tarnung die CALC.EXE (Windows Taschenrechner) aus dem Windows Verzeichnis aus. Zusätzlich legt er zwei Registry-Einträge an, damit er beim nächsten Systemstart automatisch gestartet wird. Ferner versucht Bagle verschiedene Server im Internet über Port 6667 zu erreichen, um möglicherweise nach Updates zu suchen.

Hinweise, wie sich der Wurm von betroffenen Rechnern deinstallieren lässt, hat die H-BEDV in einem aktuellen Infoblatt zusammengestellt. Auch über die für Privatkunden kostenlose AntiVir-Version lässt sich der Schädling von einem infizierten Rechner entfernen.