Roland
Augen auf beim Öffnen des Postfachs! Experten warnen vor einer neuen Wurm-Welle, die statt Billig-Angebote fiese Trojaner austeilt.
Zuwachs bei der Bagle-Familie
Derzeit attackieren neue Vertreter der Bagle-Wurmfamilie die elektronischen Postfächer von Internetnutzern. Gleich sechs Varianten des Schädlings sind in Umlauf, die den schädlichen Wurm-Code jeweils in einer beigefügten ZIP-Datei verbergen. Der Dateiname enthält immer die Bezeichnung "price".
"price" als Anhang
Die Mails kommen oft ohne Betreff und enthalten nur einen sehr kurzen Text, etwa "price" oder "new price". Der Anhang besteht aus einer ZIP-Datei mit Namen wie "new_price.zip", "price_09.zip" oder ähnlich. Die ZIP-Datei enthält den Wurm in einer Datei mit der Endung ".cpl", zum Beispiel "1.cpl" oder "price.cpl". CPL-Dateien sind eigentlich Programme, die als Steuermodule aus der Systemsteuerung aufgerufen werden.
Wurm verschickt Trojaner
Die verschiedenen Varianten des Wurms unterscheiden sich nur im Namen der durch die CPL-Datei angelegten EXE-Datei. Nur einer der Bagles hat die Fähigkeit zum Versenden von Mails mit infektiösem Anhang – dieser verschickt die anderen Varianten. Alle weiteren Versionen sind folglich auch keine Würmer, sondern Trojanische Pferde.
Anti-Virensoftware wird ausgeschaltet
Der Bagle-Wurm öffnet zur Tarnung den Windows-Editor (Notepad), legt eine Kopie von sich als "winshost.exe" im Windows-Verzeichnis an und erstellt dort eine weitere Datei namens "wiwshost.exe". Diese enthält die eigentlichen Schadroutinen. Ferner wird die Datei "HOSTS" überschrieben, die Zuordnungen von Web-Adressen zu IP-Adressen enthält. Schließlich beendet der Schädling verschiedene Sicherheitsprogramme und entfernt deren Einträge aus der Registry.
Updates bereits verfügbar
Nahezu alle Antivirus-Hersteller haben inzwischen Updates bereit gestellt, mit denen die neuen Bagles erkannt werden. Die gemeldeten Wurmnamen müssen dabei nicht unbedingt "Bagle" lauten, auch andere Vertreter wie "Tooso", "Mitglieder" und "Glieder" zählen zur Bagle-Familie.
Quelle
Zuwachs bei der Bagle-Familie
Derzeit attackieren neue Vertreter der Bagle-Wurmfamilie die elektronischen Postfächer von Internetnutzern. Gleich sechs Varianten des Schädlings sind in Umlauf, die den schädlichen Wurm-Code jeweils in einer beigefügten ZIP-Datei verbergen. Der Dateiname enthält immer die Bezeichnung "price".
"price" als Anhang
Die Mails kommen oft ohne Betreff und enthalten nur einen sehr kurzen Text, etwa "price" oder "new price". Der Anhang besteht aus einer ZIP-Datei mit Namen wie "new_price.zip", "price_09.zip" oder ähnlich. Die ZIP-Datei enthält den Wurm in einer Datei mit der Endung ".cpl", zum Beispiel "1.cpl" oder "price.cpl". CPL-Dateien sind eigentlich Programme, die als Steuermodule aus der Systemsteuerung aufgerufen werden.
Wurm verschickt Trojaner
Die verschiedenen Varianten des Wurms unterscheiden sich nur im Namen der durch die CPL-Datei angelegten EXE-Datei. Nur einer der Bagles hat die Fähigkeit zum Versenden von Mails mit infektiösem Anhang – dieser verschickt die anderen Varianten. Alle weiteren Versionen sind folglich auch keine Würmer, sondern Trojanische Pferde.
Anti-Virensoftware wird ausgeschaltet
Der Bagle-Wurm öffnet zur Tarnung den Windows-Editor (Notepad), legt eine Kopie von sich als "winshost.exe" im Windows-Verzeichnis an und erstellt dort eine weitere Datei namens "wiwshost.exe". Diese enthält die eigentlichen Schadroutinen. Ferner wird die Datei "HOSTS" überschrieben, die Zuordnungen von Web-Adressen zu IP-Adressen enthält. Schließlich beendet der Schädling verschiedene Sicherheitsprogramme und entfernt deren Einträge aus der Registry.
Updates bereits verfügbar
Nahezu alle Antivirus-Hersteller haben inzwischen Updates bereit gestellt, mit denen die neuen Bagles erkannt werden. Die gemeldeten Wurmnamen müssen dabei nicht unbedingt "Bagle" lauten, auch andere Vertreter wie "Tooso", "Mitglieder" und "Glieder" zählen zur Bagle-Familie.
Quelle