Moskau (pte) - Der russische Sicherheits-Experte Kaspersky Labs
http://www. kaspersky.com warnt vor einer gefährlichen Modifikation des bekannten "I-Worm.Bagle". Der Bagle-Autor ist derzeit besonders aktiv und verbreitet laut Kaspersky wöchentlich neue Varianten des Wurms. Gegenwärtig verbreitet sich "Email-Worm.Win32.Bagle.bn" primär über Spam. Der Security-Spezialist geht davon aus, dass damit die Bagle-"botnets" aufrechterhalten werden sollen.
Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die ein mit PeX gepacktes EXE-File enthält, befindet sich im E-Mail-Anhang. Die EXE-Datei trägt den Namen "19_04_2005.exe" und hat gepackt eine Größe von rund 19 KB. Beim Start der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Der Name dieser Text-Datei beginnt mit dem Symbol und verfügt über die Dateiendung txt. Der restliche Teil des Namens wird zufällig erzeugt. "Bagle.bn" verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der User sieht im Texteditor lediglich das Wort "Sorry".
Im Anschluss extrahiert der Wurm die Dateien "winshost.exe" aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert sie in der Windows-Registry. Anschließend blockiert der Wurm die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden kann. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. "Bagle.bn" ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techiken verwenden, um Repliken des Wurms massenhaft zu verbreiten.
Quelle :
www.yahoo.de
