http://www.heise.de/...r/meldung/45117
Neue Varianten des Bagle-Wurms im Umlauf
****************************************
Nachdem vor zwei Wochen bereits eine erste Variante des Bagle-Wurms aufgetaucht ist, sind am vergangenen Wochenende gleich fünf neue Varianten entdeckt worden. Network Associates führt diese als Bagle.c bis Bagle.g in der Datenbank. Die neuen Varianten unterscheiden sich in ihrer Funktionsweise nicht von den Vorgängern, die Trägermails kommen aber jeweils mit unterschiedlichen Betreffzeilen und Attachment-Namen ins Haus. Die Größe des Dateianhangs variiert ebenfalls.
Wie schon die Sobig-Würmer enthalten die Bagle-Varianten c bis g ein Ablaufdatum: Ab dem 25. März 2004 stellen die Schädlinge ihre Verbreitung ein. Führt der Anwender das Attachment aus, infiziert der Wurm den lokalen Rechner, indem er verschiedene Dateien im Windows-Systemverzeichnis anlegt und sich in der Windows-Registry als Autostart-Eintrag verewigt. Ferner öffnet er eine Hintertür auf Port 2745 und versucht, Komponenten aus dem Internet nachzuladen. Ist der Schädling aktiv, versucht er zusätzlich, die Update-Prozesse von installierten Virenscannern abzuschießen, sodass keine aktuellen Virensignaturen heruntergeladen werden können.
Einige dieser Bagle-Varianten verbreiten sich mittlerweile recht schnell, Network Associates führt die c- und e-Varianten bereits auf der Risikostufe "mittel". Antivirus-Software sollte die neuen Varianten mittlerweile erkennen und infizierte Mails abfangen können. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antivirus-Seiten von heise Security.
-------------------------------------------------------------------------------
Golem.de 01.03.2004, 11:18
http://www.it-news.de/0403/30013.html
Sehr starke Verbreitung von zwei neuen Varianten des Wurms
**************************************************
********
........Alle Bagle-Würmer versenden sich per E-Mail mit gefälschten Absenderadressen, wechselnden Betreffzeilen und Nachrichtentexten, wobei sich auch die Dateinamen der Anhänge ändern, worin der Wurm-Code schlummert. Die ausführbare Wurm-Datei wird entweder direkt als Exe-, Scr- oder Zip-Datei an die E-Mail gehangen oder in Form eines Zip-Archivs versendet. Bei der direkten Versandart (Varianten F und G) zeigt der Wurm diese ausführbaren Daten fälschlicherweise mit einem Verzeichnis-Icon an. Aber auch die Exe-Datei in den Zip-Archiven (Bagle C, D und E) werden mit einem anderen Dateiart-Icon dargestellt, um so potenzielle Opfer in Sicherheit zu wiegen. So können die in dem Zip-Archiv liegenden Dateien etwa das Icon einer Textdatei, eines Excel-Dokuments oder eines Verzeichnisses tragen, obgleich es sich um eine Exe-Datei handelt. Der Wurm setzt für seine Verbreitung auf die Neugierde der Opfer.
Wird der Wurm-Code manuell geöffnet, nistet er sich so in einem Windows-System ein, dass der Schädling bei jedem Neustart des Betriebssystem geladen wird. Um eine Bekämpfung des Unholds zu erschweren, werden zahlreiche Viren-Scanner oder andere Sicherheits-Software automatisch beendet. Auf einem befallenen System durchsuchen die Würmer verschiedene Dateiarten nach E-Mail-Adressen und versenden sich an diese über eine eigene SMTP-Engine. Als weiteren Verbreitungsweg kopiert sich der Wurm in Verzeichnisse, die wömöglich zum Datenaustausch in Peer-to-Peer-Netzwerken verwendet werden. ............
Dieser Beitrag wurde von reiner bearbeitet: 01. März 2004 - 13:27