virus-informer.de: Neue Modifiaktion der Netzwerk-Wurms 'Bagle' ruft eine globale Epidemie hervor

17.02.04 18:41 Age: 7 yrs

Neue Modifiaktion der Netzwerk-Wurms 'Bagle' ruft eine globale Epidemie hervor

By: admin

Kaspersky Labs informiert

über eine neue Modifikation des bekannten Netzwerk-Wurms

'I-Worm.Bagle': Die Version 'I-Worm.Bagle.b' (alias Tanx-A). Es sind bereits hunderte

von Nachrichten von Anwendern aus unterschiedlichen Ländern

eingegangen, die über mit diesem Wurm infizierte Korrespondenz

berichten...

Nach moderaten Einschätzungen sind zur Zeit ca. 2000 Nachrichten im

globalen Netz mit dem Wurm 'Bagle.b' infiziert, wobei die Anzahl stark

ansteigt. Die Daten sind weniger beunruhigend als beim berühmten

Wurm 'Mydoom', wobei bis dahin Bagle für 2004 mit seiner A-Variante

'Bagle.a' klar der meistverbreitete Wurm war.

Die neue Version von 'I-Worm.Bagle' ist funktional seinem Vorgänger

sehr ähnlich. Die Malware verbreitet sich per eMail als Anhang. Der

Wurm ist eine exe. Datei in Windows, 11 Kb groß und ist der

Nachricht mit der Überschrift 'ID õ... thanks' und dem Text

'Yours ID x: Thank', beigefügt, wobei 'x' ein beliebiges Symbol

darstellt.

Nach öffnen der Datei kopiert sich der Wurm in das

System-Verzeichnis von Windows und registriert sich im System-Register

Auto-Starten. Um den Anwender in die Irre zu führen initiiert der

Wurm die Windows Standard-Utility: Sound Recorder (sndrec32.exe). Danach

versucht 'Bagle.b' sich mit mehreren gelöschten Sites zu verbinden,

die wiederum mit dem Trojaner Proxy Server

'TrojanProxy.Win32.Mitglieder' verbunden sind. Zur Zeit sind alle Links

zu allen Netz-Quellen zum Herunterladen von 'Mitglieder' gelöscht

und 'I-Worm.Bagle' kann diese Technologie zur Beschleunigung seiner

Verbreitung nicht benutzen.

Gefährlicher für den infizierten Computer ist allerdings die

im Wurm enthaltene Trojaner-Komponente. Sie öffnet auf dem

infizierten Computer den Port 8866 und verfolgt danach alle seine

Operationen. Dies eröffnet die Möglichkeit den Computer

entfernt zu steuern, verschiedene Kommandos zu starten und Dateien nach

Belieben des Wurm-Autors auf den Computer zu laden.

Zur Vermehrung verwendet 'I-Worm.Bagle.b' wie sein Vorgänger eine

für diese Art von Schadens-Programmen gewöhnliche Prozedur. Er

scannt das Datei-System des infizierten Computers auf der Suche nach

Dateien mit der Erweiterungen wab, txt, htm, html und r1 und versendet

sich an alle im Adressenverzeichnis gefundenen eMail-Adressen. Zum

Versenden verwendet der Wurm den eigenen SMTP-Server. Die Aktivität

des Schadens-Programms ist zeitlich begrenzt: Der Wurm ist auf

Vervielfältigung bis zum 25. Feburaur 2004 programmiert, was auf

eine neue Version von 'Bagle' zu diesem Zeitpunkt hinweist.

Quelle: Kaspersky Newsletter

<- Back to: virus-informer.de


	17.02.04 18:41 Age: 7 yrs Neue Modifiaktion der Netzwerk-Wurms 'Bagle' ruft eine globale Epidemie hervor By: admin Kaspersky Labs informiert über eine neue Modifikation des bekannten Netzwerk-Wurms 'I-Worm.Bagle': Die Version 'I-Worm.Bagle.b' (alias Tanx-A). Es sind bereits hunderte von Nachrichten von Anwendern aus unterschiedlichen Ländern eingegangen, die über mit diesem Wurm infizierte Korrespondenz berichten... Nach moderaten Einschätzungen sind zur Zeit ca. 2000 Nachrichten im globalen Netz mit dem Wurm 'Bagle.b' infiziert, wobei die Anzahl stark ansteigt. Die Daten sind weniger beunruhigend als beim berühmten Wurm 'Mydoom', wobei bis dahin Bagle für 2004 mit seiner A-Variante 'Bagle.a' klar der meistverbreitete Wurm war. Die neue Version von 'I-Worm.Bagle' ist funktional seinem Vorgänger sehr ähnlich. Die Malware verbreitet sich per eMail als Anhang. Der Wurm ist eine exe. Datei in Windows, 11 Kb groß und ist der Nachricht mit der Überschrift 'ID õ... thanks' und dem Text 'Yours ID x: Thank', beigefügt, wobei 'x' ein beliebiges Symbol darstellt. Nach öffnen der Datei kopiert sich der Wurm in das System-Verzeichnis von Windows und registriert sich im System-Register Auto-Starten. Um den Anwender in die Irre zu führen initiiert der Wurm die Windows Standard-Utility: Sound Recorder (sndrec32.exe). Danach versucht 'Bagle.b' sich mit mehreren gelöschten Sites zu verbinden, die wiederum mit dem Trojaner Proxy Server 'TrojanProxy.Win32.Mitglieder' verbunden sind. Zur Zeit sind alle Links zu allen Netz-Quellen zum Herunterladen von 'Mitglieder' gelöscht und 'I-Worm.Bagle' kann diese Technologie zur Beschleunigung seiner Verbreitung nicht benutzen. Gefährlicher für den infizierten Computer ist allerdings die im Wurm enthaltene Trojaner-Komponente. Sie öffnet auf dem infizierten Computer den Port 8866 und verfolgt danach alle seine Operationen. Dies eröffnet die Möglichkeit den Computer entfernt zu steuern, verschiedene Kommandos zu starten und Dateien nach Belieben des Wurm-Autors auf den Computer zu laden. Zur Vermehrung verwendet 'I-Worm.Bagle.b' wie sein Vorgänger eine für diese Art von Schadens-Programmen gewöhnliche Prozedur. Er scannt das Datei-System des infizierten Computers auf der Suche nach Dateien mit der Erweiterungen wab, txt, htm, html und r1 und versendet sich an alle im Adressenverzeichnis gefundenen eMail-Adressen. Zum Versenden verwendet der Wurm den eigenen SMTP-Server. Die Aktivität des Schadens-Programms ist zeitlich begrenzt: Der Wurm ist auf Vervielfältigung bis zum 25. Feburaur 2004 programmiert, was auf eine neue Version von 'Bagle' zu diesem Zeitpunkt hinweist. Quelle: Kaspersky Newsletter <- Back to: virus-informer.de
home Impressum