28.01.2005

WURM

Zunehmende Bedrohung durch "Bagle.ay"

Kaspersky Lab, Anbieter von Antivirus-Software, warnt vor einer neuen Variante des bereits bekannten "I-Worm.Bagle". "Bagle.ay", so der Name der aktuellen Inkarnation, soll sich bereits massenhaft verbreiten, was das Unternehmen dazu veranlasst, von einer Epidemie zu sprechen.

Auch der japanische Security-Spezialist Trend Micro hat einen globalen "Yellow Allert" ausgelöst, während Symantec die Bedrohung jedoch als gering einstuft.

Bagle.AY versendet E-Mails mit den Betreffzeilen "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail" und "You are made active" sowie einer angehängten Zip-Datei. Das Zip Archiv beinhaltet eine HTML-Datei, sowie eine versteckte .exe-Datei. Sobald die HTML-Datei gestartet wird, wird auch die .exe Datei ausgeführt.

Nach dem Start kopiert sich der Wurm in das Windows-Verzeichnis und registriert sich im Schlüssel für den automatischen Start des Systemregisters. Dabei unterbricht das Schadprogramm Prozesse, die die Sicherheit des Computers gewährleisten. Auch Firewalls und andere Schutzmechanismen werden durch den Wurm deaktiviert.

Weiters versucht Bagle.ay, eine als .jpg-Datei "getarnte" .exe-Datei aus dem Netz herunterzuladen. Sobald dies gelungen ist, erfolgt sofort die weitere Verbreitung via E-Mail.

Die Anbieter der gängigen Antiviruslösungen haben ihre Signatur-Dateien bereits aktualisiert, so dass man nach einem Update der Antivirus-Software vor dem neuen Wurm bereits geschützt ist. Neben der Aktualisierung empfehlen die Unternehmen, E-Mails mit den angeführten Betreffzeilen einfach ungelesen zu löschen.