Der Sicherheitsexperte F-Secure warnt vor einer neuen Bagle-Variante, die seit heute Morgen massiv als Spam versendet wird. Bagle.BB ist kein typischer E-Mail-Wurm, kommt aber angehängt an eine E-Mail als ‚doc_01.exe’. Es handelt sich um eine Downloader-Komponente, die bei Ausführung die Dateien ‚winshost.exe’ und ‚wiwshost.exe’ ablegt.
Bagle.BB deaktiviert zahlreiche Virenschutz- und Sicherheits-Tools. Die Malware überschreibt außerdem die HOSTS-Datei mit folgenden Einträgen, um den Zugang zu verschiedenen Virenschutz-Sites zu unterbinden.
Bagle.BB versucht zudem, eine ausführbare Datei namens „zo2.jpg“ von mehreren verschiedenen Download-Sites herunter zu laden. Wie üblich enthalten diese Download-Sites derzeit keine solche Datei, doch zu einem späteren Zeitpunkt werden sie verschiedene Spam-Proxies oder Schleusenprogramme beherbergen. Die Malware manipuliert auch verschiedene Registrierungsschlüssel, die in Zusammenhang mit der Windows-BITS-Technologie stehen. Dabei handelt es sich um die „Background Intelligent Transfer Services“, die vom Windows Update Service genutzt werden.
Neueste Kommentare
2 Kommentare zu Neue Bagle-Variante deaktiviert Virenschutzlösungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Viren
Sophos war schneller. Bei mir 06.09
Rasche Reaktion
Ich habe F-Secure installiert und das Unternehmen hat auf das auftauchen des Wurms bereits um 6:49 reagiert und das Programm geupdatet. Das nenne ich eine rasche und wirkungsvolle Reaktion.