Neue Bagle-Varianten im Umlauf

Drei neue Ausprägungen des Intenet-Wurms Bagle verbreiten sich nach Angaben von Virenexperten derzeit mit hoher Geschwindigkeit. Der Schädling versucht unter anderem Sicherheitssoftware zu deaktivieren.

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen vor neuen Varianten des Internet-Wurms Bagle. Nach Angaben der Tettnanger verbreiteten sich die Schädlings-Varianten entgegen ihrer Vorgänger mit sehr hoher Geschwindigkeit über diverse Spamlisten. Das Schadens- und Verbreitungspotential dieser Bagle-Varianten wird von den Virenexperten als sehr hoch eingeschätzt.

Die neue Variante Worm/Bagle.BB wurde am 01. März 2005 über diverse Spamlisten versendet. Der Wurm besitzt eine eigene SMTP Engine. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbstständig Emails verschicken kann. Wird Worm/Bagle.BB ausgeführt, erstellt er bestimmte Dateien. Er versendet sich daher nicht selbst, sondern die erstellten Dateien WINHOST.EXE oder WIWSHOST.EXE. Außerdem fügt der Wurm der Windows-Registry bestimmte Einträge hinzu und ist auch in der Lage bestehende Einträge zu verändern. So kann er beispielsweise den Updateservice von Windows zu deaktivieren oder andere Einträge in der Registrierungsdatenbank löschen.

Sicherheitssoftware kann ausgehebelt werden

Der Wurm ist in der Lage, eine Reihe von Antiviren- und Sicherheitssoftware zu deaktivieren. Er überschreibt die HOSTS-Datei von Windows, so dass die betroffenen Anwender nicht auf die Webseiten ihrer Softwarefirmen zugreifen können. Die Bagle-Variante Worm/Bagle.BB versucht die Datei "ZO2.JPG" von diversen Downloadservern herunterzuladen. Doch die meisten dieser Server weisen eine solche Datei nicht auf. Das Schadens- und Verbreitungspotential der Varianten Worm/Bagle.BC bzw. Worm/Bagle.BD ähneln der der Worm/Bagle.BB-Variante. Die Virenexperten haben seit Montag mehrere ITW-Samples (in the wild) dieser neuen Bagle-Varianten gesichtet.

Neue Version von AntiVir verfügbar

H+BEDV hat bereits reagiert und ein entsprechendes Update seines Virenschutzes für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter der unten angegebenen Adresse zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien "AntiVir Personal Edition" gegen den ungebetenen Besucher schützen.