|
Bagle-Epidemie geht weiter
25.05.2004
Im Internet ist wieder der Wurm drin. Diesmal Bagle-AA. Der Schädling vernichtet zwar augenscheinlich keine Daten auf dem PC und schleppt auch keinen Backdoor ein, er kann aber durch die von ihm verursachte Maillawine für ungewünschten Traffic sorgen.
Wenn der Wurm das erste Mal gestartet wird, erscheint auf dem Monitor eine gefakte Fehlermeldung “Can´t find a viewer associated with the file“. Erheblich ärgerlicher: Die Malware kopiert sich unter dem Namen drvddll.exe in das Windows-Verzeichnis und legt einen Eintrag in der Registry unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\drvddll.exe = drvddll.exe an. Danach startet der Wurm bei jedem Systemstart mit.
Bei der Verbreitung geht Bagle-AA altbekannte Wege: Er kommt mit einer englischsprachigen Mail, deren Betreffzeile einen der folgenden Texte tragen kann:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
New changes
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Der Wurm selbst steckt wie gehabt in einer angehängten Datei, die eine dieser Endungen trägt: EXE, SCR, COM, ZIP, VBS, HTA or CPL.
Das macht Bagle-AA
Einmal gestartet durchwühlt Bagle-AA alle Laufwerke nach Dateien mit folgender Endung: WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM und JSP. An die Mailadressen, die er darin findet, verschickt er sich. Zudem legt der Schädling Kopien von sich in verschiedenen Verzeichnissen ab.
Richtig giftig ist eine andere Funktion des virtuellen Quälgeists. Er versucht nämlich, laufende Prozesse von einer Fülle von Sicherheits-Programmen wie Virenscanner oder Firewall zu beenden. Eine weitergehende Schadensroutine scheint er Sophos zufolge aber nicht zu besitzen.
|
