Wurm-Epidemie durch Bagle-Klone

Der russische Experte für IT-Sicherheit Kaspersky Lab warnt vor einer Wurm-Epidemie durch neue Modifikationen des Netzwurms „Win32.Bagle“. Alle Klone sind Tarnvarianten ein und desselben Schadprogramms. Bisher gingen Kaspersky neun verschiedene Modifikationen von Bagle ins Netz. Erst gestern hat Konkurrent F-Secure eine Warnung vor Bagle.BB veröffentlicht (ZDNet berichtete).

Den Wurm-Varianten, die alle zur Klasse der „intended“-Würmer zählen, fehlt jedoch die „Vermehrungsfunktion“. Das bedeutet, dass eine selbstständige Vermehrung des Malicious-Codes durch den infizierten Computer ausgeschlossen werden kann. Das massenhafte Aufkommen der Modifikationen erklärt Kaspersky damit, dass die Epidemie durch Spam-Versand hervorgerufen wird.

Der Versand des Schadprogramms erfolgt per E-Mail-Anhang. Der Wurm wird unter Windows ausgeführt und ist an einem Brief mit frei gewählter oder fehlender Überschrift und Text angehängt. Das erschwert seine Identifikation anhand formaler Merkmale. Nach der Aktivierung durch den User kopiert sich der Wurm in das System-Verzeichnis und registriert sich im Schlüssel für den automatischen Start. Dabei unterbricht Bagle jene Prozesse, die für die Sicherheit des Computers und lokalen Netzwerkes Sorge tragen. Da sich die Klone jedoch nur durch unterschiedliche Verpackungsutilities unterscheiden, ist laut Kaspersky eine einheitliche Prozedur zur Erkennung und Neutralisierung möglich.