Alarmstufe Gelb für Bagle.Q
Trend Micro hat am Freitag einen globalen Yellow-Alert ausgelöst, um auf die explosionsartige Verbreitung einer neuen Bagle-Migration aufmerksam zu machen. Im Gegensatz zu seinen Verwandten besitzt Bagle.Q die neue Fähigkeit, auch Dateien zu infizieren.
Nach ersten Analysen ist das Schadens- und Verbreitungspotenzial des Malicious Code als sehr hoch einzustufen.
Der jüngste Spross der Bagle-Familie "PE_Bagle.Q" infiziert Dateien und verbreitet sich über zwei verschiedene Arten via E-Mail. Bei der ersten Methode versendet er E-Mails ohne Dateianhang, die HTML-Code im Nachrichtentext und einen Internet-Link beinhalten. Das Öffnen der E-Mail setzt eine Reihe von Aktionen in Gang, durch die der Malicious-Code auf den Wirt-Computer heruntergeladen wird. Um diesen automatisierten Vorgang zu starten, nutzt Bagle.Q eine Sicherheitslücke im Internet Explorer. Bei der zweiten Verbreitungsmethode versendet der Wurm infizierte E-Mails mit wechselnden Betreffzeilen, Nachrichtentexten und Attachements.
"Es ist eindeutig zu erkennen, dass die Programmierer von Netsky und Bagle eine Fehde gegeneinander führen. Dies erklärt auch die große Anzahl der neuen Viren-Varianten. Mit Bagle.Q liegt nun ein weiterentwickeltes Bagle-Modell vor. Die Programmierer hatten ursprünglich einen Wurm entworfen, der sich via E-Mail verbreitet. Neben den bisherigen Tricks infiziert die neue Variante nun aber auch Dateien und attackiert Systemschwachstellen. Die Viren-Programmierer wissen genau, wie schwierig es ist, alle Systeme in einem Unternehmernetzwerk mit den entsprechenden Sicherheitsupdates zu schützen. Diesen Umstand nützen sie nun skrupellos aus", kommentiert der Leiter der TrendLabs-EMEA David Knopp.
Gefährdet sind vor allem Computer mit den Betriebssystemen aus Redmond, Windows 95, 98, ME, NT, 2000 und XP. Es wird daher empfohlen, die letzten Sicherheitspatches von Microsoft einzuspielen und den eigenen Virenscanner mit den aktuellen Virendefinitionen auszurüsten.