Viren-Report für den Juli 2004: Trauriger Rekord

Alle neueren Varianten setzen weiterhin auf Social Engineering, einem Verfahren zur Täuschung von Computeranwendern, das beim Anwender den Eindruck zu erweckt, die infizierte Email stamme von einer vertrauenswürdigen Quelle. Durch diese Täuschung sollen Computernutzer dazu verleitet werden, den Dateianhang zu öffnen. Einige Bagle-Varianten schützen dabei den infizierten Anhang durch ein Passwort, das im Nachrichtentext enthalten ist. Um den Dateianhang zu öffnen, müssen Anwender also explizit kooperieren und das Passwort eingeben. Dieses Verfahren funktionierte so gut, dass Trend Micro einen Yellow Alert auslöste. Als weiteren Verbreitungsweg nutzen die Bagle-Varianten außerdem die Peer-to-Peer (P2P)-Netzwerke. Die Malware legt dabei eine Kopie von sich in öffentlichen Dateiordnern ab. Besonders attraktive oder neugierig machende Namen sollen Anwender zum Download der infizierten Datei bewegen.

Die Varianten von Worm_Bagle vermeiden es zudem, sich an die Mail-Adressen bekannter Hersteller von Antiviren-Lösungen zu versenden. Mit dieser Vorsichtsmaßnahme soll die Erkennung verzögert werden. Hersteller von Antiviren-Software verlassen sich bei der Identifikation von Bedrohungen nicht nur auf den eigenen Posteingang, sondern suchen nach ersten Anzeichen neuer Malware. Das Ziel, das Antivirenhersteller so nur verspätet aktuelle Pattern-Files zur Verfügung stellen, erreicht Worm_Bagle daher nicht.

Wie ihre Vorgänger versuchen auch die neuen Bagle-Varianten, installierte Antiviren- und andere Sicherheitslösungen auf den infizierten Systemen zu deaktivieren. Damit wird der Weg für zukünftige Angriffe geebnet. Außerdem suchen die Bagle-Varianten auch nach Netsky-Würmern, um diese zu entfernen.