Neue Bagle-Variante deaktiviert Virenschutzlösungen

F-Secure löst Alarm aus

Der Sicherheitsexperte F-Secure warnt vor einer neuen Bagle-Variante, die seit heute Morgen massiv als Spam versendet wird. Bagle.BB ist kein typischer E-Mail-Wurm, kommt aber angehängt an eine E-Mail als ‚doc_01.exe’. Es handelt sich um eine Downloader-Komponente, die bei Ausführung die Dateien ‚winshost.exe’ und ‚wiwshost.exe’ ablegt.

Bagle.BB deaktiviert zahlreiche Virenschutz- und Sicherheits-Tools. Die Malware überschreibt außerdem die HOSTS-Datei mit folgenden Einträgen, um den Zugang zu verschiedenen Virenschutz-Sites zu unterbinden.

Bagle.BB versucht zudem, eine ausführbare Datei namens „zo2.jpg“ von mehreren verschiedenen Download-Sites herunter zu laden. Wie üblich enthalten diese Download-Sites derzeit keine solche Datei, doch zu einem späteren Zeitpunkt werden sie verschiedene Spam-Proxies oder Schleusenprogramme beherbergen. Die Malware manipuliert auch verschiedene Registrierungsschlüssel, die in Zusammenhang mit der Windows-BITS-Technologie stehen. Dabei handelt es sich um die „Background Intelligent Transfer Services“, die vom Windows Update Service genutzt werden.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Neue Bagle-Variante deaktiviert Virenschutzlösungen

Kommentar hinzufügen
  • Am 1. März 2005 um 23:04 von artuer

    Rasche Reaktion
    Ich habe F-Secure installiert und das Unternehmen hat auf das auftauchen des Wurms bereits um 6:49 reagiert und das Programm geupdatet. Das nenne ich eine rasche und wirkungsvolle Reaktion.

  • Am 2. März 2005 um 6:49 von Hans

    Viren
    Sophos war schneller. Bei mir 06.09

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *