Rubrik: Virenwarnung/Aktuelle Meldungen

Kaspersky: Bagle.ay-Version ruft globale Epidemie hervor

Aktivierung des Wurms erfolgt auf Initiative des Anwenders

(29.01.05) - Kaspersky Lab informiert über eine neue Modifikation des bereits bekannten "I-Worm.Bagle" - "I-Worm.Bagle.ay". Gegenwärtig beobachten die Experten eine Massenverbreitung des Schadprogramms, was das Unternehmen veranlasst, von einer Virenepidemie zu sprechen.

Anzeige

Bagle.ay verbreitet sich als E-Mail-Anhang über das Internet. Der Wurm wird unter Windows ausgeführt und sendet sich selbst an alle auf dem infizierten Computer gefundenen E-Mail-Adressen. Die Größe der gepackten Datei beträgt 19KB und ist mit einer der nachstehenden Überschriften an die E-Mail angehängt: "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail", "You are made active". Der Brieftext existiert ebenfalls in zwei verschiedenen Varianten: "Thanks for use of our software" und "Before use read the help". Ebenso die Bezeichnung der angehängten Datei: "wsd01", "viupd02", "siupd02", "guupd02", "zupd02", "upd02", "Jol03"

Die Aktivierung des Wurms erfolgt auf Initiative des Anwenders, der den Anhang des Briefs öffnet und damit die infizierte Datei startet. Nach dem Start kopiert sich der Wurm in das Windows-Verzeichnis und registriert sich im Schlüssel für den automatischen Start des Systemregisters. Dabei unterbricht das Schadprogramm Prozesse, die die Sicherheit des Computers gewährleisten.

Zu seiner Verbreitung nutzt "Bagle.ay" eine für diese Art Schadprogramme bekannte Prozedur, die jedoch eine Reihe Besonderheiten aufweist. Er scannt das Datei-System des befallenen Computers und versendet sich selbst an alle aufgefundenen E-Mail-Adressen, ausgenommen Adressen bekannter Entwickler von Antivirus-Programmen. Dies erklärt auch die geringe Zahl der Wurm-Muster, die die Antivirus-Unternehmen erhalten haben. Zum Versenden der infizierten E-Mails nutzt der Wurm den direkten Weg über SMTP-Server.

Um seine Verbreitung zu erhöhen, sucht "Bagle.ay" Verzeichnisse, die die Zeile "shar" enthalten und hinterlegt in diese seinen Körper mit Bezeichnungen, die den bekannten Utilities ähneln. Aufgrund der Nutzung von geteilten Ressourcen und P2P-Netzen erhöht sich die Anzahl der Verbreitungskanäle des Schadcodes. (ma)
 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken