Neue Variante des Bagle-Wurms aufgetaucht

Andreas Frischholz
7 Kommentare

Kaspersky Labs warnt vor einer neuen Modifikation des Bagle-Wurms. Dieser verbreitet sich im Gegensatz zu seinem Vorgänger jedoch nur noch per E-Mail, dort aber mit Hilfe einer massiven Spamwelle. Gefährdet sind Anwender, die auf Betriebssystem aus dem Hause Microsoft setzen.

Der auf den Namen „win32.Bagle.bb“ getaufte Schädling zählt zu der Gruppe der "intended"-Würmer, was bedeutet, dass er keinen eigenen Verteiler besitzt und somit nicht in der Lage ist, sich von befallenen Systemen selbstständig weiterzuverbreiten. Wie üblich befindet sich der Wurm im Anhang der Spammails, jedoch lassen diese sich nur schwer zuordnen, da sie über keinen einheitlichen Titel, Text und Namen verfügen und auch die Größe und das Format variiert. Die Größe der Wurmdatei an sich beträgt 34.304 Byte und sie ist chiffriert.

Hat der Wurm erst einmal ein System befallen, schreibt er sich in das Windows Systemverzeichnis unter dem Namen winshost.exe ein und hinterlässt einen Eintrag im Autostart. Weiterhin legt er Virenscanner und Firewalls lahm, wodurch ein infiziertes System ungeschützt gegen den Befall weiterer Schädlinge ist. Zudem versucht er eine ausführbare Datei mit dem Namen „zo2.jpg“ von verschiedenen Webseiten herunter zu laden und er manipuliert verschiedene Registrierungsschlüssel, die unter anderem vom Windows Updateservice genutzt werden.

Bisher sind neun verschiedene Varianten des Wurms aufgetaucht, jedoch sind die Unterschiede so marginal, dass eine einheitliche Prozedur zur Erkennung und Neutralisierung ausreichend ist. Die Hersteller von Anti-Viren Lösungen bieten schon erste Signaturen an, in denen der Win32.Bagle.bb aufgenommen worden ist.