Bagle-Variante zielt auf JPEG-Bug ab

Auf den vor rund zehn Tagen bekannt gewordenen JPEG-Bug setzt nun auch eine neue Bagle-Variante, die gestern entdeckt wurde. Der Virus „Bagle.az“ versucht unter anderem, von diversen Websites eine Datei namens „WS.JPG“ herunter zu laden.

Allerdings ist die Gefahr bislang gering: Auf keiner der genannten Sites war die Bild-Datei zu finden. Über den Inhalt der Datei ist ebenfalls nichts bekannt. Die Bagle-Variante verbreitet sich per E-Mail mit einer erfundenen Absender-Adresse. In der Betreffzeile steht wie bei den Vorgängern „Re:“, „Re:“, „Hello“, „Re: Thank you!“, „Re: Thanks :)“, oder „Re: Hi“.

Im Text der Mail stehen nur die Worte „simply :)“ oder „:))“, die angehängte Datei ist „Price“, „price“ or „Joke“ benannt und endet auf „.exe“, „.scr“ „.com“ oder „.cpl“. Antivirenfirmen haben inzwischen Updates gegen die neue Version bereit gestellt.

Beim Öffnen oder Betrachten eines JPEG-Bildes kann durch die Mitte September bekannt gewordene Windows-Lücke Code in ein System eingeschleust werden, der mit den vollen Rechten des Benutzers ausgeführt wird (ZDNet berichtete). Dadurch kann beispielsweise ein trojanisches Pferd die Kontrolle über den Rechner übernehmen und ihn ohne Wissen des Benutzers für Spam-Versand oder auch Denial-of-Service-Attacken benutzen. Ein Microsoft-Update schützt vor Angriffen.

Symantec und andere Hersteller von Security-Software haben ausserdem ihre Signaturdateien aktualisiert, sodass mit den Scannern nun auch Bilder gefunden werden können, welche die Sicherheitslücke ausnutzen. Damit erhöht sich jedoch die Scan-Zeit beträchtlich.

Kurz nach dem Exploit war Anfang der Woche der erste Malcode aufgetaucht. Allerdings hatte dieser wenig Chancen auf Verbreitung: Der Autor hatte einen Link zu einer JPEG-Datei in diversen Newsgroups gepostet.