Bagle.N: Wurm mutiert zum Virus
Die jüngste Bagle-Variante verbreitet sich mit neuen Tricks und infiziert .exe-Dateien.
15. März 2004
Auch einem alten Hund kann man neue Tricks beibringen: Bagle.N alias Beagle.N erschwert mit neuen Methoden die Arbeit der Virenscanner und infiziert .exe-Dateien. Der heute entdeckte Wurm wird von McAfee bereits auf der Risikostufe "mittel" geführt.
Grundsätzlich unterscheidet sich Bagle.N nur wenig von seinen Vorgängern: Er wird nach wie vor über E-Mail oder die Tauschbörse Kazaa verbreitet, schreibt Einträge in die Registry, öffnet eine Hintertür auf Port 2556 und versucht, Viren-Scanner zu beenden. Bekannt ist auch, dass er sich als verschlüsseltes Archiv weiterverbreitet, neu allerdings nicht mehr nur im .zip-, sondern auch im .rar-Format. Das Passwort zu den Archiven ist nun allerdings als .gif-Datei an die Mail angehängt, so dass es die Virenscanner nicht mehr einfach aus dem Nachrichtentext auslesen, das Archiv entschlüsseln und den Wurm enttarnen können. Insgesamt wird die Erkennung so ungleich schwieriger.
Bagle.N trägt ausserdem erstmals Kennzeichen eines typischen Virus, infiziert er doch sämtliche ausführbaren Dateien auf dem betroffenen System. Dabei nutzt er polymorphe (jeweils andere) Verschlüsselungen, um die Erkennung der infizierten Dateien zu erschweren.
Am Wochenende wurde auch Bagle.M entdeckt, der sich allerdings von seinen Vorgängern kaum unterscheidet und entsprechend von den Virenscannern relativ problemlos erkannt wird.
Die meisten AntiViren-Softwarehersteller haben ihre Signaturdateien mittlerweile aktualisiert.
Grundsätzlich unterscheidet sich Bagle.N nur wenig von seinen Vorgängern: Er wird nach wie vor über E-Mail oder die Tauschbörse Kazaa verbreitet, schreibt Einträge in die Registry, öffnet eine Hintertür auf Port 2556 und versucht, Viren-Scanner zu beenden. Bekannt ist auch, dass er sich als verschlüsseltes Archiv weiterverbreitet, neu allerdings nicht mehr nur im .zip-, sondern auch im .rar-Format. Das Passwort zu den Archiven ist nun allerdings als .gif-Datei an die Mail angehängt, so dass es die Virenscanner nicht mehr einfach aus dem Nachrichtentext auslesen, das Archiv entschlüsseln und den Wurm enttarnen können. Insgesamt wird die Erkennung so ungleich schwieriger.
Bagle.N trägt ausserdem erstmals Kennzeichen eines typischen Virus, infiziert er doch sämtliche ausführbaren Dateien auf dem betroffenen System. Dabei nutzt er polymorphe (jeweils andere) Verschlüsselungen, um die Erkennung der infizierten Dateien zu erschweren.
Am Wochenende wurde auch Bagle.M entdeckt, der sich allerdings von seinen Vorgängern kaum unterscheidet und entsprechend von den Virenscannern relativ problemlos erkannt wird.
Die meisten AntiViren-Softwarehersteller haben ihre Signaturdateien mittlerweile aktualisiert.
Artikel kommentieren
