Kaspersky Lab warnt vor Bagle.ay

Neue Bagle-Version ruft globale Epidemie hervor
(PresseBox) (Moskau/Ingolstadt, ) Kaspersky Lab, international führender Experte im Bereich IT-Sicherheit, informiert eine neue Modifikation des bereits bekannten "I-Worm.Bagle" - "I-Worm.Bagle.ay". Gegenwärtig beobachten die Experten von Kaspersky Lab eine Massenverbreitung des Schadprogramms, was das Unternehmen veranlasst, von einer Virenepidemie zu sprechen.

Bagle.ay verbreitet sich als E-Mail-Anhang über das Internet. Der Wurm wird unter Windows ausgeführt und sendet sich selbst an alle auf dem infizierten Computer gefundenen E-Mail-Adressen. Die Größe der gepackten Datei beträgt 19KB und ist mit einer der nachstehenden Überschriften an die E-Mail angehängt: "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail", "You are made active". Der Brieftext existiert ebenfalls in zwei verschiedenen Varianten: "Thanks for use of our software" und "Before use read the help". Ebenso die Bezeichnung der angehängten Datei: "wsd01", "viupd02", "siupd02", "guupd02", "zupd02", "upd02", "Jol03"
Die Aktivierung des Wurms erfolgt auf Initiative des Anwenders, der den Anhang des Briefs öffnet und damit die infizierte Datei startet. Nach dem Start kopiert sich der Wurm in das Windows-Verzeichnis und registriert sich im Schlüssel für den automatischen Start des Systemregisters. Dabei unterbricht das Schadprogramm Prozesse, die die Sicherheit des Computers gewährleisten.
Zu seiner Verbreitung nutzt "Bagle.ay" eine für diese Art Schadprogramme bekannte Prozedur, die jedoch eine Reihe Besonderheiten aufweist. Er scannt das Datei-System des befallenen Computers und versendet sich selbst an alle aufgefundenen E-Mail-Adressen, ausgenommen Adressen bekannter Entwickler von Antivirus-Programmen. Dies erklärt auch die geringe Zahl der Wurm-Muster, die die Antivirus-Unternehmen erhalten haben. Zum Versenden der infizierten E-Mails nutzt der Wurm den direkten Weg über SMTP-Server.

Um seine Verbreitung zu erhöhen, sucht "Bagle.ay" Verzeichnisse, die die Zeile "shar" enthalten und hinterlegt in diese seinen Körper mit Bezeichnungen, die den bekannten Utilities ähneln. Aufgrund der Nutzung von geteilten Ressourcen und P2P-Netzen erhöht sich die Anzahl der Verbreitungs-Kanäle des Schadcodes.

Prozeduren zum Schutz vor "I-Worm.Bagle. ay" wurden bereits heute Mittag in die Anti-Virus-Dateien von Kaspersky Lab aufgenommen. Detailliertere Informationen zum Schadprogramm erhalten Sie auf www.viruslist.com (http://www.viruslist.com/...).

Kontakt

Kaspersky Labs GmbH
Despag-Straße 3
D-85055 Ingolstadt
Elke Woessner
essential media GmbH
Ronny Winkler
essential media GmbH
Social Media