Wurm W32.Bagle kursiert
20.01.2004

Ein neuer Wurm treibt seit kurzem sein Unwesen: W32.Bagle kommt wie viele andere Computerschädlinge auch per E-Mail ins Haus, versucht sich über seine eigene SMTP-Engine weiterzuverbreiten und öffnet eine Hintertür in infizierte Systeme. Gefährdet sind alle Windows-Betriebssysteme. Der Mail-Wurm kursiert seit dem Wochenende und verbreitet sich besonders in Deutschland ziemlich stark.

Die Träger-E-Mails enthalten alle die Betreffszeile “Hi“ und einen zufälligen Text im Body der Mail sowie als Namen des Attachments (.exe). Führt der Anwender das Attachment aus, überprüft der Schädling zunächst, ob das Systemdatum vor dem 28. Januar 2004 steht. Wenn nicht, beendet sich der Wurm selbst und hat damit ein Verfallsdatum ähnlich wie die Sobig-Varianten im vergangenen Jahr.

Bei Infektion vor dem 28. Januar legt der Wurm eine Datei “bbeagle.exe“ im Windows-Systemverzeichnis an und startet diese bei jedem Boot über die Windows-Registry. Der Schädling sucht in .wab-, .txt.-, .htm- und .html-Dateien nach E-Mail-Adressen, um sich weiterzuverbreiten, auch die Absenderadressen werden damit gefälscht. Ferner öffnet der Schädling den Port 6777 nach außen, vermutlich handelt es sich dabei um eine Backdoor-Funktion. Bagle versucht zusätzlich Kontakt zu knapp 40 Servern aufzunehmen, um ein PHP-Skript nachzuladen; nach Angaben von Network Associates sind diese Skripte zum derzeitigem Zeitpunkt aber auf keinem der Server vorhanden.

Sowohl bei Network Associates als auch bei Trend Micro hat man bereits viele Bagle-Würmer registriert; Network Associates stuft das Risikopotenzial auf “Medium“ ein, bei Trend Micro hat man “Yellow Alert“ ausgerufen. Für die Scanner von Network Associates (McAfee) und Trend Micro gibt es bereits aktuelle Virensignaturen, andere Antiviren-Hersteller sollten ihre Signaturdateien im Laufe der Woche aktualisiert haben.