Rubrik: Virenwarnung/Aktuelle Meldungen

F-Secure: "Radar Level 2 Alert" - Bagle.B auf dem Vormarsch

Desinfizierungs-Tool bereit gestellt

(19.02.04) - F-Secure warnt vor einer neuen Variante des Massmailing-Wurms "Bagle". Bagle.B verbreitet sich rasch über E-Mails, deren Betreffzeile und Attachment-Name zufällig gewählt sind. Die EXE-Datei im Anhang der Mail stellt sich als Audio-Datei dar. Wird sie geöffnet, wird der Windows "Sound Recorder" gestartet und die Windows Applikation "sndrec32.exe" ausgeführt. Der Wurm legt sich im Windows-System-Verzeichnis ab und trägt sich in die Registry ein. Zudem installiert Bagle.B auf dem infizierten Rechner eine Backdoor-Komponente und öffnet Port 8866 für einen Zugriff von außen. Bagle.B ist so programmiert, dass er seine Verbreitung am 25. Februar 2004 beendet.

Anzeige

Eine Nachricht, die Bagle.B enthält, kann folgendermaßen aussehen:

Subject: ID <zufällige Zeichenfolge>... thanks

E-Mail-Text:

Yours ID <zufällige Zeichenfolge>

--

Thank

Name des Attachments:

<zufällige Zeichenfolge>.exe

In Dateien mit den Endungen HTM, HTML, WAB und TXT sucht Bagle.B nach E-Mail-Adressen und schickt Kopien von sich an die gefundenen Adressen. Verschont bleiben Anwender, deren E-Mail-Adressen folgende Bestandteile aufweisen: r1u, @hotmail.com, @msn.com, @microsoft.com, @avp.

Desinfizierungs-Tool bereit gestellt

F-Secure hat ein spezielles Software-Tool entwickelt, das Bagle.B entdecken und entfernen kann. Anwender, deren PC mit dem E-Mail-Wurm infiziert ist, können das Tool auf folgenden Web-Seiten herunter laden:

Als komprimierte Datei:

·         http://www.f-secure.com/tools/f-bagle.zip

·         ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.zip

Als nicht komprimierte Datei:

·         http://www.f-secure.com/tools/f-bagle.exe

·         ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe

·         http://www.f-secure.com/tools/f-bagle.txt

·         ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.txt

Ein Update zum Schutz vor Bagle.B wurde der F-Secure-Virendefinitions-Datenbank bereits hinzugefügt. Eine detaillierte technische Beschreibung des Wurms sowie eine Anleitung zur manuellen Entfernung ist zu finden unter http://www.f-secure.com/v-descs/bagle_b.shtml. Weitere Informationen können auch dem Web-Logbuch des F-Secure Anti-Virus Research Lab entnommen werden: http://www.f-secure.com/weblog/. (ma)

F-Secure

Kontakt: Sandra Proske

Tel. (089) 787467-22, Fax (089) 787467-99

E-Mail: sandra.proske@f-secure.com

Web: www.f-secure.de

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken