Veröffentlicht am: 01.03.2005 11:55:32
Laut F-Secure ist seit heute Morgen eine neue Bagle-Variante unterwegs die sich massiv als Spam versendet. Bagle.BB ist kein typischer E-Mail-Wurm, kommt aber angehängt an eine E-Mail als ‚doc_01.exe’.
Es handelt sich um eine Downloader-Komponente, die bei Ausführung die Dateien ‚winshost.exe’ und ‚wiwshost.exe’ ablegt. Bagle.BB deaktiviert zahlreiche Virenschutz- und Sicherheits-Tools. Die Malware überschreibt außerdem die HOSTS-Datei mit folgenden Einträgen, um den Zugang zu Virenschutz-Sites zu unterbinden:
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
Bagle.BB versucht, eine ausführbare Datei namens "zo2.jpg" von mehreren verschiedenen Download-Sites herunterzuladen. Wie üblich enthalten diese Download-Sites derzeit keine solche Datei, doch zu einem späteren Zeitpunkt werden sie verschiedene Spam-Proxies oder Schleusenprogramme beherbergen. Die Malware manipuliert auch verschiedene Registrierungsschlüssel, die in Zusammenhang mit der Windows-BITS-Technologie stehen. Dabei handelt es sich um die "Background Intelligent Transfer Services", die vom Windows Update Service genutzt werden.
Ein Update zum Schutz vor Sober.I wurde der F-Secure Virendefinitions-Datenbank bereits hinzugefügt. Eine detaillierte Beschreibung des Wurms ist zu finden unter http://www.f-secure.de/v-desk/bagle_bb.shtml.
Im kommenden WCM 229 gibt es einen großen Schwerpunkt zum Thema Viren, Würmer, Spyware etc. und aktuelle Anti-Virus-Suiten im Test/Überblick.
wan
Gedruckt von WCM (http://www.wcm.at/contentteller.php/news_story/f_secure_radar_level_2.html)