Bagle-Familie: Neue Variante wirbt mit Gesundheit und Wissen

Trojaner kopiert sich ins Systemverzeichnis

(08.11.05) H+BEDV warnt alle PC-Anwender vor dem jüngsten Spross des Bagle-Clans. Der Trojaner Bagle.DR wurde als E-Mail über diverse Spam-Listen in Umlauf gebracht und hat sich relativ stark verbreitet. Computeranwender erkennen den Trojaner an dem Attachment namens "E-Mailing: Health_and_knowledge.zip".

Im Nachrichtentext der E-Mail finden alle, die auf das Thema Gesundheit neugierig geworden sind, keine einzige erklärende Zeile, sondern nur einen Anhang mit dem Dateinamen "Health_and_know-ledge.zip". Allen Anwendern wird, die anhängende 9.675 Bytes große Datei nicht zu aktivieren, sondern die Mail sofort zu löschen.

Bei denen, die das Attachment entpacken und ausführen, kopiert sich der Trojaner ins System-verzeichnis mit dem Dateinamen hloader_exe.exe und erstellt die Datei hleader_dll.dll. Die neue Datei ist ein Downloader, der mit dem Explorer-Task gestartet wird.

Diese DLL-Datei mit einem Umfang von 5.613 Bytes versucht, Dateien von verschiedenen Websites auf den Rechner nachzuladen. Darüber hinaus nimmt TR/Bagle.DR eigenständig Einträge in der Windows-Registry vor. (H+BEDV: ra)