Bagle (Computerwurm)

Bagle ist ein am 18. Januar 2004 erstmals entdeckter Massen-E-Mail-Computerwurm. Varianten von 2006 sind äußerst zerstörerisch. Zahlreiche Varianten mit verschiedensten Schadfunktionen sind bekannt. Charakteristisch für die Bagle-Familie ist die relativ unauffällige Kompromittierung und Ausnutzung des Zielsystems bei gleichzeitig sehr effizienter Verbreitung nach dem Schneeballsystem.

Infektion, Symptome und Verbreitung

Bagle infiziert alle Windows-Betriebssysteme über manuelles Ausführen eines E-Mail-Dateianhanges, in der Regel eine .exe-Datei mit zufällig generiertem Dateinamen.

Der Wurm deaktiviert zunächst vorhandene Sicherheitssysteme wie Virenscanner und Personal Firewall, kopiert dann "bbeagle.exe" ins Systemverzeichnis und öffnet den Port TCP/6777.

Um sich weiterzuverbreiten, sammelt Bagle E-Mail Adressen u.a. aus den folgenden Dateiformaten auf dem Opfer-PC und verschickt sich selbst an die gefundenen Adressaten. Es verwendet dazu seine eigene SMTP-Routine über Port 25.

* .wab
* .txt
* .htm
* .html

Neben dem Ressourcenverbrauch auf dem PC und im Netzwerk besteht die Gefahr der Rufschädigung, da Bagle gefälschte E-Mails oft an die eigenen privaten oder geschäftlichen Kontakte im Adressbuch verschickt.

Dateinamen und die verwendeten Ports sind aufgrund der Vielzahl an Varianten sehr unterschiedlich. Einige Varianten weisen zudem peer-to-peer- und/oder Trojaner-Charakteristika auf. Weiterhin wird gegebenenfalls zusätzlicher Code von verschiedenen Websites heruntergeladen. Die aktuellen Varianten von 2006 löschen zudem Schlüssel in der Windows-Registrierungsdatenbank, die für das automatische Starten bestimmter Antiviren- oder Sicherheitssoftware nötig sind. Die Varianten von 2006 sollen alle Möglichkeiten ausschließen, den Wurm zu entfernen. Der Wurm geht dabei wie folgt vor:

1. Die Möglichkeit, im abgesicherte Modus hochzufahren, um den Virus zu entfernen, wird abgeschaltet per Registrylöschung. (Bluescreen)

2. Alle Virenscanner werden blockiert und ausgeschaltet.

3. Die CPU-Auslastung wird ständig auf 100% gehalten. (Arbeiten nur noch im Taskmanager möglich)

4. Die Internetverbindung wird entfernt, um auch von dieser Seite keine Maßnahmen gegen diesen Virus zuzulassen.

Der Wurm tarnt sich mit folgenden Dateien: hldrrr.exe, hidr.exe, srosa.sys und legt nicht sichtbare Ordner an (Rootkit). Sobald ein Ordner mit einem Rootkit-Tool gefunden und gelöscht wird, legt er neue an. Zusätzlich kopiert sich die Datei hldrrr.exe in diese verschiedenen versteckten Ordner, sobald versucht wird, diese zu löschen. Da es kaum möglich ist, mit Virenprogrammen alle hldrrr.exe-Würmer gleichzeitig zu finden, ist ein Wiederherstellen des Systems fast ausgeschlossen.

[1]

Belege

  1. Trend Micro: WORM_BAGLE.EN - Technical details. 19. Juni 2007.

Quellen & Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Bagle (Virus) — Bagle ist ein am 18. Januar 2004 erstmals entdeckter Massen E Mail Computerwurm. Varianten von 2008 sind äußerst zerstörerisch. Zahlreiche Varianten mit verschiedensten Schadfunktionen sind bekannt. Charakteristisch für die Bagle Familie ist die… …   Deutsch Wikipedia

  • Computerwurm — Ein Computerwurm (im Computerkontext kurz Wurm) ist ein Computerprogramm oder Skript mit der Eigenschaft, sich selbst zu vervielfältigen, nachdem es ausgeführt wurde.[1] In Abgrenzung zum Computervirus verbreitet sich der Wurm, ohne fremde… …   Deutsch Wikipedia

  • Computerwürmer — Ein Computerwurm ist ein Computerprogramm, das sich über Computernetzwerke verbreitet und dafür so genannte „höhere Ressourcen“, wie eine Wirtsapplikation, Netzwerkdienste oder eine Benutzerinteraktion benötigt. Es verbreitet sich zum Beispiel… …   Deutsch Wikipedia

  • Internetwurm — Ein Computerwurm ist ein Computerprogramm, das sich über Computernetzwerke verbreitet und dafür so genannte „höhere Ressourcen“, wie eine Wirtsapplikation, Netzwerkdienste oder eine Benutzerinteraktion benötigt. Es verbreitet sich zum Beispiel… …   Deutsch Wikipedia

  • Morris-Wurm — Ein Computerwurm ist ein Computerprogramm, das sich über Computernetzwerke verbreitet und dafür so genannte „höhere Ressourcen“, wie eine Wirtsapplikation, Netzwerkdienste oder eine Benutzerinteraktion benötigt. Es verbreitet sich zum Beispiel… …   Deutsch Wikipedia

  • Beagle — bezeichnet: eine Hunderasse, siehe Beagle (Hund) den Mars Landeroboter Beagle 2 acht Schiffe der Royal Navy, siehe HMS Beagle eine Wasserstraße im Süden Feuerlands, siehe Beagle Kanal einen Konflikt im Beagle Kanal, siehe Beagle Konflikt Beagle… …   Deutsch Wikipedia

  • Botnet — Ablauf der Entstehung und Verwendung von Botnetzen: 1. Infizierung ungeschützter Computer, 2. Eingliederung in das Botnet, 3. Botnetbetreiber verkauft Dienste des Botnets, 4./5. Ausnutzung des Botsnets, etwa für den Versand von Spam Ein Botnet… …   Deutsch Wikipedia

  • Firewall — Eine Firewall (von englisch firewall [ˈfaɪəwɔːl] „die Brandmauer“) ist eine Software, weiter gefasst auch ein System mit einer bestimmten Funktion[1] und ein Teilaspekt[2] eines Sicherheitskonzepts. Die Firewall Software dient dazu, den… …   Deutsch Wikipedia

  • Sasser — Der Computerwurm Sasser (Der Name ist ein Wortspiel zusammengesetzt aus dem englischen Verb „to sass“ – „freche Antworten geben“ und der Tatsache, dass er den Dienst LSASS ausnutzt) verbreitete sich Anfang Mai 2004 in hoher Geschwindigkeit auf… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”