Tipp

Weitere Modifikation des Bagle-Wurms aufgetaucht

Oliver W. Oliver W.

Bagle.ay ist schon die zweite neue Bagle-Version innerhalb von zwei Tagen. Diese Variante wird als besonders gefährlich eingeschätzt, bei Kaspersky spricht man gegenwärtig von einer "Virenepidemie".

Die IT-Sicherheitsexperten von Kaspersky Lab warnt vor einer neuen Modifikation des bereits hinlänglich bekannten Bagle-Wurms, die Bagle.ay genannt wird. Erst am gestrigen Donnerstag war erneut ein Bagle-Ableger aufgetaucht. Gegenwärtig beobachten die Experten von Kaspersky Lab eine Massenverbreitung des Schadprogramms, was das Unternehmen veranlasst, von einer Virenepidemie zu sprechen.

Bagle.ay verbreitet sich als E-Mail-Anhang über das Internet. Der Wurm wird unter Windows ausgeführt und sendet sich selbst an alle auf dem infizierten Computer gefundenen E-Mail-Adressen. Die Größe der gepackten Datei beträgt 19 KB und ist mit einer der nachstehenden Überschriften an die E-Mail angehängt: "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail", "You are made active". Der Brieftext existiert ebenfalls in zwei verschiedenen Varianten: "Thanks for use of our software" und "Before use read the help", ebenso die Bezeichnung der angehängten Datei: "wsd01", "viupd02", "siupd02", "guupd02", "zupd02", "upd02" oder "Jol03".

Die Aktivierung des Wurms erfolgt auf Initiative des Anwenders, der den Anhang des Briefs öffnet und damit die infizierte Datei startet. Nach dem Start kopiert sich der Wurm in das Windows-Verzeichnis und registriert sich im Schlüssel für den automatischen Start des Systemregisters. Dabei unterbricht das Schadprogramm Prozesse, die die Sicherheit des Computers gewährleisten.

Zu seiner Verbreitung nutzt Bagle.ay eine für diese Art Schadprogramme bekannte Prozedur, die jedoch eine Reihe Besonderheiten aufweist. Er scannt das Datei-System des befallenen Computers und versendet sich selbst an alle aufgefundenen E-Mail-Adressen, ausgenommen Adressen bekannter Entwickler von Antivirus-Programmen. Dies erklärt auch die geringe Zahl der Wurm-Muster, die die Antiviren-Unternehmen erhalten haben. Zum Versenden der infizierten E-Mails nutzt der Wurm den direkten Weg über SMTP-Server.

Um seine Verbreitung zu erhöhen, sucht der Schädling Verzeichnisse, die die Zeile "shar" enthalten und hinterlegt in diese seinen Körper mit Bezeichnungen, die den bekannten Utilities ähneln. Aufgrund der Nutzung von geteilten Ressourcen und P2P-Netzen erhöht sich die Anzahl der Verbreitungs-Kanäle des Schadcodes. Prozeduren zum Schutz vor Bagle.ay wurden bereits in die Anti-Virus-Dateien von Kaspersky Lab aufgenommen. Detailliertere Informationen zum Schadprogramm findet man unter der unten genannten URL.

Neueste Artikel