Bagle

IT-Sicherheitsexperte warnt vor neuer Bagle-Modifikation

E-Mail-Wurm Bagle.bn in Umlauf
Von Julia Scholz

Der IT-Sicherheitsexperte Kaspersky Lab warnt vor einer gefährlichen Modifikation des bereits bekannten "I-Worm.Bagle" mit dem Namen "Email-Worm.Win32.Bagle.bn". Seit gestern mittag sind die Anti-Virus-Datenbanken des Sicherheitssoftware-Herstellers entsprechend aktualisiert, um Anwender vor der neuen Bagle-Wurmvariante zu schützen. Seit Anfang 2005 ist der Bagle-Virus besonders aktiv. Wöchentlich werden neue Varianten des Wurms verbreitet. Gegenwärtig beobachtet Kaspersky Lab eine Massenverbreitung des neuesten Schadprogramms über Spam und geht davon aus, dass damit die Bagle-"botnets" (PCs, die mit dem Bagle-Wurm infiziert sind) aufrechterhalten werden sollen. Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die eine mit PeX gepackte EXE-Datei enthält, befindet sich im E-Mail-Anhang. Die EXE-Datei heißt 19_04_2005.exe und hat gepackt eine Größe von 19 KB (ungepackt 65 KB).

Wurm öffnet weiteren Schädlingen Tür und Tor

Beim Starten der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Der Name dieser Text-Datei beginnt mit dem Symbol ~ und verfügt über die Dateiendung txt. Der restliche Teil des Namens wird zufällig erzeugt. Zum Öffnen der Datei verwendet Bagle.bn den Standard-Texteditor des befallenen Systems. Der Anwender sieht im Texteditor lediglich das Wort "Sorry" angezeigt. Im Anschluss extrahiert der Wurm die Datei winshost.exe aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert es anschließend in der Windows Registry. Dadurch wird sichergestellt, dass der Wurm bei jedem Neustart des Rechners aktiviert wird.

Der Wurm blockiert die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden können. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. Bagle.bn ist nicht in der Lage, sich selbst zu verbreiten. Der Wurm könnte jedoch auch zukünftig Spam-Techniken verwenden, um weitere Repliken des Wurms massenhaft zu verbreiten.