Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Über 60.000 Exemplare von "Bagle" bereits abgefangen

Neuer Schädling enthält vermutlich Backdoor-Komponente

(22.01.04) - MessageLabs hat eine beträchtliche Anzahl von Kopien des neuen Schädlings "W32/Bagle-mm" abgefangen. Das erste Exemplar des Massmailers stammt aus Deutschland. Der Großteil der infizierten Mails stammt allerdings bis dato aus Australien. Die Verbreitung hält mit unveränderter Geschwindigkeit an.

Anzeige

Name: W32/Balge-mm

Bisher abgefangene Kopien: 59.342

Uhrzeit und Datum des ersten Zwischenfalls: 18. Januar 2004, 11:36 GMT

Ursprungsland der ersten infizierten E-Mail: Deutschland

Allgemeines

Der Wurm befindet sich in einem Attachment an einer E-Mail-Nachricht. Der Dateiname ist zufällig generiert, die Dateinamen-Erweiterung ist .exe. W32/Bagle-mm durchsucht den infizierten Rechner nach E-Mail-Adressen und verbreitet sich anschließend über eine integrierte SMTP-Engine weiter. So genannte "Social Engineering Techniques" arbeiten mit dem jeweiligen User vertrauten Dateinamen und animieren so zum fatalen Doppelklick, der zum Start des angehängten .exe-Files führt.

Weitere Analysen lassen vermuten, dass W32/Bagle-mm eine Backdoor-Komponente beinhaltet, die infizierte Rechner automatisch an Hacker-Kreise meldet, sobald eine Verbindung zum entsprechenden System hergestellt ist. Der Wurm versucht unter Umständen auch, den Download einer unter dem Namen Backdoor-CBJ bekannte Trojaner-Komponente zu initialisieren. Dieser Trojaner kann dann als Proxy-Server fungieren, der wiederum weiteren Code installiert, um schließlich via Key-Logging an Passwörter zu gelangen.

W32/Bagle-mm verfügt über ein Verfallsdatum: Ab 28. Januar sollte die Gefahr gebannt sein.

Charakteristika betroffener E-Mails

Subject: Hi

Text: Test =)  <random chars>

--

Test, yep.

Attachment: <random characters>.exe

Dateigröße: 15 kilobytes

"Wir haben bis dato über 60.000 Exemplare von Bagle abgefangen, Tendenz weiterhin steigend", sagte Paul Wood, Chief Information Security Analyst bei MessageLabs. "Erstaunlicherweise bedient sich der Schädling nur sehr rudimentärer Social-Engineering-Techniken und enthält zudem ein Executable als Attachment. Dennoch weist Bagle auch Parallelen zum Rekord-Virus "SoBig" auf: Er verfügt über ein Verfallsdatum und versucht, den Download einer Trojaner-Proxy-Komponente zu initialisieren. Weitere Analysen werden zeigen, ob Bagle das Werk desselben Virenschreibers ist."

MessageLabs hat alle Stränge dieses Virus mit Hilfe seiner patentierten heuristischen Technologie Skeptic proaktiv erkannt und abgefangen. Weitere Informationen finden Sie unter http://www.messagelabs.com/intelligence (ma)

MessageLabs

Office UK:

Tel. (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken