Warnung: Bagle is back

Der Bagle-Wurm ist nicht totzukriegen, eine neue Variante ist im Internet aufgetaucht.
29. September 2004

     

Eine neue Variante des Bagle-Wurms treibt sich seit kurzem im Internet herum. Namen hat er derweil viele, so nennt ihn Network Associates "W32/Bagle.az@MM", bei F-Secure wird er unter "Bagle.AS" geführt, "W32.Beagle.AR@mm" nennt Symantec den Unhold, Sophos betitelt ihn mit "W32/Bagle-AZ", Computer Associates mit "Win32.Bagle.AM" und bei Trend Micro heisst er "WORM_BaGLE.AM".
Egal mit welchem Decknamen er sein Unwesen treibt, wie seine Vorgänger verschickt er sich selbständig über eine integrierte SMTP-Engine an E-Mail-Adressen, die aus unterschiedlichen auf der Festplatte abgelegten Dateien gesammelt werden. Die Schadroutine steckt im E-Mail-Anhang, der die Datei-Extensionen ".com", ".cpl", ".exe" oder ".scr" enthalten kann. Die Nachricht mit den Betreffzeilen Re:; Re: Hello; Re: Hi; Re: Thank you! und Re: Thanks :) kommt mit einem Smiley daher. Einmal aktiviert, kopiert sich die Schadroutine in jedes Verzeichnis mit der Buchstabenkombination "shar" auf der Festplatte. Die Schadroutine wird bei jedem Start des Betriebssystems automatisch aktiviert. Zwar versucht der Schädling, installierte Antivirensoftware und Desktop-Firewalls auszuhebeln, verhindert aber zumindest die Ausführung des Wurms "Netsky". Allerdings wird der Port 81 für TCP- und UDP-Datenverkehr geöffnet, wodurch sich infizierte PCs als E-Mail-Relay zum Beispiel zum Versenden von Spam missbrauchen lassen.
Wie immer gilt: keine unbekannten Attachments öffnen oder bestenfalls automatisch blockieren, nicht benötigte Dienste deaktivieren sowie regelmässig aktuelle Patches und Antivirensignaturen einspielen. (mw)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER