Neue Trojaner mit hohem Schadenspotenzial

Virus-Spezialisten warnen vor Bagle-Klonen

Verschiedene Security-Spezialisten warnen vor neuen Varianten des „Bagle“ Downloader-Trojaners, der sich seit gestern Abend überraschend schnell verbreitet. Die Schädlinge vermehren sich per E-Mail und laden weitere Trojaner-Komponenten nach. Das Schadens- und Verbreitungspotenzial dieser Bagle-Varianten wird als äußerst hoch eingeschätzt.

Der Sicherheitsdienstleister Messagelabs will eigenen Angaben zufolge am gestrigen Dienstag bereits weit über 70.000 Exemplare des Schädlings abgefangen haben. Nach den Hochrechnungen des E-Mail-Sicherheits-Providers Blackspider sind innerhalb der ersten Stunde etwa 524.000 infizierte Mails an europäische Unternehmen adressiert worden.

Die neuen Bagle-Varianten verbreiten sich in E-Mails mit leerer Betreffzeile und ohne Nachricht aber mit infiziertem ZIP-Anhang. Mögliche Bezeichnungen des 18 Kbyte großen Attachments lauten 1.zip, 2.zip, 3.zip, 4.zip, 5.zip, 6.zip, 7.zip oder 8.zip. Im Archiv befindet sich eine ausführbare Datei, die die eigentliche Schadensroutine enthält.

Der neue Wurm besteht wie auch seine Vorgänger aus einer Wurm- und einer Trojaner-Komponente. Wenn er erstmals gestartet wird, kopiert sich der Schädling als winshost.exe in den Windows-Systemordner und legt die Komponente wiwshost.exe ebenfalls im Windows-Systemordner ab. Die abgelegte Komponente wird in den explorer.exe Prozess eingefügt, damit er nicht beendet werden kann. Verschiedene Registrierungseinträge werden ebenfalls von dem Trojaner erstellt, damit er bei der Anmeldung automatisch startet.

Der Schädling versucht alle ihm bekannten Antiviren- und Firewall-Programme zu deaktivieren und Komponenten derselben zu löschen. Anschließend durchsucht er alle gefundenen Laufwerke nach E-Mail-Adressen um Kopien von sich selbst an diese zu schicken.

Hat sich Bagle auf dem befallenen System erst einmal bequem eingenistet, fragt er in regelmäßigen Zeitabständen eine lange Liste von URLs ab, um neue Massenmail-Komponenten nachzuladen. Diese können das betroffene System in einen so genannten „Zombie-PC“ verwandeln, der ohne Wissen des Anwenders zum Versenden von Spam missbraucht wird.

Erst gestern hat Trend Micro für Mytob.AR einen „gelben Alarm“ ausgelöst. Mytob-Migration „Mytob.AR“ verwendet klassische Social-Engineering-Techniken, um unerfahrene Anwender hinters Licht zu führen und um Spyware- sowie Adware-Komponenten zu hinterlegen.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Neue Trojaner mit hohem Schadenspotenzial

Kommentar hinzufügen
  • Am 1. Juni 2005 um 21:24 von O-Brian

    Die Leute lernen es nie…
    Wer Mails unbekannter Absender oder mit leerem Betreff aufmacht und anschliessend auch noch eine *.zip Datei öffnet ist selbst schuld wenn Ihm der Rechner um die Ohren fliegt…
    Es gibt drei einfache Regeln im Umgang mit Mails:

    1.) öffne niemals eine Mail unbekannten Ursprungs !

    2.) Mails ohne Betreff gehen ungelesen in die Mülltonne.

    3.) unbekannte Anhänge wie *.zip werden grundsätzlich nicht geöffnet wenn nicht klar ist von wem die Mail stammt.

    Wenn man diese Regeln beachtet kann nicht viel passieren.

    Ganz wichtig ist noch: man sollte einen aktuellen Virenscanner haben und ihn unbedingt täglich updaten bevor man die E-Mails abholt.

    Viel Spass beim Mailen

    Grützi, O-Brian

    • Am 2. Juni 2005 um 9:39 von Major-X

      AW: Die Leute lernen es nie…
      Ich weiß auch nicht warum die meisten Leute bei Emails immer gleich den Anhang öffnen müssen. Ich denke das ist reine unstillbare Neugierde.
      Hatte gestern auch eine solche Email erhalten über Web.de. Wurde im Vornherein als Virus gelöscht und in den SPAM Ornder verschoben.
      Wer solche Emails dann noch öffnet der soll bitte in die Steckdose fassen und sich einen kräftigen Schlag verpassen lassen.

    • Am 3. Juni 2005 um 21:06 von Gregor

      AW: Die Leute lernen es nie…
      Abgesehen davon, dass man solche Mails einfach ignorieren sollte – selbst wenn man ein ZIP öffnet oder entpackt, um zu sehen, was drin ist, passiert ja noch nichts. Die Leute müssen wirklich so dumm sein, die ausführbare Datei darin auch noch zu öffnen. *seufz*

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *