Bagle.z greift bekannte deutsche Web-Sites an

Daniel Dubsky,
SicherheitSicherheitsmanagement

Trend Micro hat Alarm ausgelöst, um die Ausbreitung von Worm_Bagle.z zu
verhindern. Bislang wurde das Auftreten dieses Malicious Code aus Europa
und den USA gemeldet. Wie frühere Varianten verwendet auch Bagle.z
Social Engineering, um Anwender zu täuschen und zum Ausführen des
Dateianhangs zu bewegen. Zudem kombiniert der Malicious Code neue
Funktionen mit der Variation eines älteren Tricks und tarnt sich als
Passwort-geschütztes Dokument oder Benachrichtigung des E-Mail-Systems
(Reply Notification).

Der Mass-Mailer-Wurm verbreitet sich über
eine eigene SMTP-Engine (Simple Mail Transfer Protocol), durchsucht
infizierte Computer nach E-Mail-Adressen und kopiert sich selbst in
öffentliche Netzwerk-Ordner. Darüber hinaus greift Bagle.z verschiedene
bekannte deutsche Web-Sites an, darunter spiegel.de, deutsches-museum.de
und deutschland.de.

“Die Motive für diese Aktion sind nicht ganz
klar. Möglicherweise versuchen die Programmierer dieses Wurms, eine
Denial-of-Service-Attacke gegen bestimmte Web-Sites zu starten”, so
Raimund Genes, President of European Operations bei Trend Micro, heute
in Unterschleißheim bei München. “Unter Umständen handelt es sich auch
bei einer der fraglichen URLs um einen Zähler realer Infektionen. Die
anderen Web-Sites auf der Liste könnten dann dazu dienen, den
Infektionsherd zu tarnen. Alternativ wäre es auch möglich, dass diese
Methode dazu genutzt wird, um den Virenprogrammierer mittels spezieller
Skripte über die infizierten Systeme zu informieren.”

Bagle.z
versendet E-Mails mit Betreffzeilen wie “Protected Message” oder “RE:
Msg reply”. In den Nachrichtentext ist eine JPEG-Datei eingebettet, die
ein vermeintliches Passwort für die Darstellung des Dateianhangs
enthält. Für den Dateianhang, in dem der Speicher-residente Wurm
verborgen ist, werden Namen wie “Alive-condom”, “Loves_money” oder
“MoreInfo” verwendet. Nach dem Ausführen kopiert sich Bagle.z in den
Windows System-Ordner (als DRVDDLL.exe) und fügt der Registry
verschiedene Einträge hinzu, um bei jedem Systemstart erneut ausgeführt
zu werden.

Bagle.z leitet infizierte Computer nicht nur zu den
oben erwähnten Web-Sites um, sondern löscht auch Registry-Einträge, die
einen automatischen Start der NETSKY-Virusvarianten ermöglichen. Dies
ist ein weiteres Indiz für die Rivalität zwischen den Programmierern der
BAGLE- und NETSKY-Familien. Wie frühere Varianten versucht zudem auch
Bagle.z, laufende AntiViren- sowie andere Sicherheitsprozesse zu
deaktivieren, um die Erkennung zu erschweren. Von Worm_Bagle.z sind
Rechner mit Windows 95, 98, ME, NT, 2000 und XP bedroht. Der Wurm ist
auch unter den Synonymen W32.Bagle.X@MM oder W32/Bagle.aa@MM bekannt.
(dd)

(
de.internet.com – testticker.de)

Weitere Infos:

Trend Micro über Bagle.Z

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Daniel Dubsky
Autor: Daniel Dubsky