Tipp

Neue Trojaner blocken Antiviren-Webseiten

Oliver W. Oliver W.

Virenexperten warnen vor drei neuen Bagle-Trojanern, die sich offenbar sehr schnell verbreiten. Sie sind auch in der Lage, die Lauffähigkeit von Antiviren- und Sicherheitssoftware zu beeinflussen.

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender der Betriebssysteme Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP sowie Windows Server 2003 vor dem Trojaner TR/Dldr.Bagle.BR sowie zwei weiteren Trojaner-Varianten TR/Dldr.Bagle.BR1 und TR/Dldr.Bagle.BR2.

Die Trojaner verbreiten sich per E-Mail und laden weitere Trojaner-Komponenten nach. Das Schadens- und Verbreitungspotenzial dieser Bagle-Varianten wird von den Virenexperten als äußerst hoch eingeschätzt. TR/Dldr.Bagle.BR sowie seine zwei Nachfolger werden generisch durch die AntiVir-Heuristik bereits im Vorfeld erkannt. H+BEDV hat spezielle Signaturen erstellt, um diese Varianten namentlich zu benennen.

Der zuerst erkannte Wurm TR/Dldr.Bagle.BR hat eine Größe von 36.352 Bytes. Er besitzt, wie auch seine Vorgänger, eine eigene SMTP-Engine. Als SMTP-Engine bezeichnen Antivirenhersteller ein Programm, das selbständig E-Mails verschicken kann.

Wird der TR/Dldr.Bagle.BR ausgeführt, erstellt er im Windows-Systemverzeichnis zwei unterschiedliche exe-Dateien und legt zwei Einträge in der Windows Registry an. Eine davon, die Datei wiwshost.exe, ist der eigentliche Downloader. Er ist in der Lage, die Lauffähigkeit von Antiviren- und Sicherheitssoftware zu beeinflussen. Hierzu beendet er alle aktiven Prozesse, die eine der folgenden Zeichenkette im Prozessnamen enthalten.

Außerdem modifiziert er die Windows-Hosts-Datei so, dass Webseiten von solchen Softwareherstellern geblockt werden und somit nicht mehr erreichbar sind. Ebenfalls ist der Trojaner in der Lage, verschiedene System-Services zu beenden. Sollten entsprechende Einträge vorhanden sein, löscht TR/Dldr.Bagle diese aus der Windows Registry. Der Trojaner enthält eine Liste mit URLs, von denen er weitere Komponenten nachladen kann und diese im Windows-Verzeichnis mit unterschiedlichem Namen speichert. Die Liste der URLs unterscheidet sich von Variante zu Variante.

Neueste Artikel