Wurmkrieg geht weiter –fieser als je zuvor

Manfred Kohlen,
SicherheitSicherheitsmanagement

Die neue Variante von Bagle, die seit heute im Umlauf ist, will
Virenscanner gleich mit mehreren neuen Methoden austricksen. Das Prinzip
bleibt jedoch das gleiche wie bei den Vorgängern: Verbreitung über
E-Mails und die Tauschbörse KazAa. Mit unterschiedlichen Betreffzeilen
versucht der Schädling, Nutzer zum Öffnen des Attachments zu bringen.
Bisher ist der Schädling nur in englischer Sprache im Umlauf, doch
mehrsprachige Versionen werden – wie bei den Vorgängern – erwartet.

Wird das Attachment gestartet, öffnet der digitale Giftzwerg eine Hintertür
auf Port 2556 und schaltet vorhandene Sicherheitsprogramme aus. Dann
verschickt sich das Gewürm selbständig weiter – diesmal allerdings als
passwortgeschütztes RAR-Archiv, um die Zip-Erkennung moderner
Virenscanner zu umgehen. Weil in dem RAR-Archiv das Passwort nicht in
Textform preisgegeben wird, sondern in einen Bildanhang eingebettet
liegt, ist es nicht mehr so einfach, das Archiv zu knacken.

Die
neue Bagle-Version speichert sich diesmal nicht nur in einer Datei,
sondern verbreitet sich großflächig auf dem infizierten Gerät. Auch
Exe-Dateien werden befallen – werden also ganz normale Programme
aufgerufen, ist das komplette System verseucht. Die sich installierenden
Bagle-Mutationen verwenden dabei eine ständig wechselnde
Verschlüsselung, um so Antiviren-Programme zu umgehen. Auch diesmal hat
die „Bagle-Gang“ eine Botschaft an die „Netsky-Gang“ eingebaut – jetzt
auch als eincodiertes ASCII-Bild, das sich aus der Schädlingsdatei als
.jpg extrahieren lässt.

Der neue Wurm wird noch unter Risiko
„mittel“ geführt, doch die Experten sind sich einig, dass dies bald
hochgestuft wird.

So beseitigen Sie den Digital-Fiesling
Entfernungstools für Bagle M (oder N, je nach Security-Firma) gibt es bereits
bei Symantec und Network Associates. Nutzer von Windows XP und Windows
ME müssen zuvor die Systemwiederherstellung deaktivieren, damit das
hässliche Bit-Häuflein wirklich gänzlich verschwinden kann. (mk)


Beseitigungstools:

bei Symantec

bei Network Associates

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen