Neue Bagle-Modifikation in Umlauf

Kaspersky Labs warnt vor einer gefährlichen Modifikation des bekannten „I-Worm.Bagle“. Der Bagle-Autor ist derzeit besonders aktiv und verbreitet laut Kaspersky wöchentlich neue Varianten des Wurms. Gegenwärtig verbreitet sich seine neuste Schöpfung „Email-Worm.Win32.Bagle.bn“ primär über Spam.

Die infizierten E-Mails werden mit leerer Betreffzeile versandt und haben auch keinen Inhalt. Der Wurm befindet sich im E-Mail-Anhang in Form einer ZIP-Datei, die eine gepacktes EXE-Datei enthält. Die EXE-Datei trägt den Namen „19_04_2005.exe“ und hat eine Größe von rund 19 KByte.

Beim Start der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. „Bagle.bn“ verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der User sieht im Texteditor lediglich das Wort „Sorry“.

Im Anschluss extrahiert der Wurm die Dateien „winshost.exe“, speichert diese in das Windows-Systemverzeichnis und registriert sie in der Windows-Registry. Anschließend blockiert der Wurm die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden kann.

Darüber hinaus beendet der Schädling Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. „Bagle.bn“ ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techiken verwenden, um Repliken des Wurms massenhaft zu verbreiten.