Wurm-Epidemie durch Bagle-Klone

Schadprogramm verwendet ständig neue "Tarnmäntel"

Der russische Experte für IT-Sicherheit Kaspersky Lab warnt vor einer Wurm-Epidemie durch neue Modifikationen des Netzwurms „Win32.Bagle“. Alle Klone sind Tarnvarianten ein und desselben Schadprogramms. Bisher gingen Kaspersky neun verschiedene Modifikationen von Bagle ins Netz. Erst gestern hat Konkurrent F-Secure eine Warnung vor Bagle.BB veröffentlicht (ZDNet berichtete).

Den Wurm-Varianten, die alle zur Klasse der „intended“-Würmer zählen, fehlt jedoch die „Vermehrungsfunktion“. Das bedeutet, dass eine selbstständige Vermehrung des Malicious-Codes durch den infizierten Computer ausgeschlossen werden kann. Das massenhafte Aufkommen der Modifikationen erklärt Kaspersky damit, dass die Epidemie durch Spam-Versand hervorgerufen wird.

Der Versand des Schadprogramms erfolgt per E-Mail-Anhang. Der Wurm wird unter Windows ausgeführt und ist an einem Brief mit frei gewählter oder fehlender Überschrift und Text angehängt. Das erschwert seine Identifikation anhand formaler Merkmale. Nach der Aktivierung durch den User kopiert sich der Wurm in das System-Verzeichnis und registriert sich im Schlüssel für den automatischen Start. Dabei unterbricht Bagle jene Prozesse, die für die Sicherheit des Computers und lokalen Netzwerkes Sorge tragen. Da sich die Klone jedoch nur durch unterschiedliche Verpackungsutilities unterscheiden, ist laut Kaspersky eine einheitliche Prozedur zur Erkennung und Neutralisierung möglich.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Wurm-Epidemie durch Bagle-Klone

Kommentar hinzufügen
  • Am 2. März 2005 um 22:47 von Spavi

    SPAVI kriegt sie alle
    > Der Versand des Schadprogramms erfolgt
    > per E-Mail-Anhang. Der Wurm wird unter
    > Windows ausgeführt und ist an einem
    > Brief mit frei gewählter oder fehlender
    > Überschrift und Text angehängt. Das
    > erschwert seine Identifikation anhand
    > formaler Merkmale.

    Genau der Ansatzpunkt von SPAVI: die E-Mail wird direkt heruntergeladen (nicht auf den heimischen Rechner!), analysiert – und wenn im Anhang eine ausführbare Datei (auch gezippt) steckt, vermutet SPAVI einen Virus. Der Anwender kann solche E-Mails dann gleich in seinem Postfach löschen und braucht nur noch saubere E-Mails zu sich herunterzuladen.

    Einfach mal http://www.spavi.de besuchen und ausprobieren!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *