Bagle-Wurm ist wieder da: Die neue Version hinterlässt eine "Sorry"-Nachricht
Eine gefährliche Modifikation des Bagle-Wurms ist in Umlauf geraten! Die neue Version mit dem sperrigen Namen "Email-Worm.Win32.Bagle.bn" wird von den Autoren über Spam verbreitet. Seit Anfang des Jahres ist der Balge-Autor wieder besonders aktiv. Die Exptern des Sicherheistspezialisten Kaspersky gehen davon aus, dass mit der neuen Bagle-Welle die Botnets des Wurms (PCs, die bereits infiziert sind) aufrecht erhalten werden sollen.
Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, befindet sich im E-Mail-Anhang. Beim Starten der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Bagle.bn verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der Anwender sieht im Texteditor lediglich das Wort 'Sorry angezeigt. Im Anschluss extrahiert der Wurm die Datei winshost.exe aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert es anschließend in der Windows Registry. Dadurch wird sichergestellt, dass der Wurm bei jedem Neustart des Rechners aktiviert wird.
Bagle blockiert Anti-Viren-Programme!
Der Wurm blockiert die Arbeit diverser Anti-Viren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden können. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. (red)