Eine der späteren Varianten der Wurm-Familie Bagle - je nach AV-Hersteller als Bagle.X, Beagle.X, Bagle.Z, Bagle.aa oder Bagle.ab bezeichnet - versucht neben seinen anderen Funktionen, auch ein PHP-Script bei einer Reihe von Websites abzurufen. Zu den angefragten Sites zählen eine Reihe großer deutscher Online-Magazine, wie etwa Spiegel.de, Welt.de, Heise.de oder eben auch tecChannel.de.
Diese sollen wohl unter Dutzenden ebenfalls abgefragter, kleinerer Sites als Täuschköder wirken. Während die Angreifer diese kleineren Sites wohl mit einem Schadscript infiziert haben, das der Wurm nachladen soll, erzeugen die entsprechenden Anfragen bei tecCHANNEL nur Server-Fehler, da hier die gesuchte Page nie vorhanden war. Da sich aber in den letzten Tagen die Anfragen infizierter Rechner häufen, haben wir uns entschlossen, an der vom Wurm abgefragten Stelle eine entsprechende Hinweis-Seite abzulegen.
Falls Sie den URL dieser Seite also nicht explizit eingegeben haben, sondern ihr Browser ohne Ihr weiteres Zutun diese Seite geladen und angezeigt hat, ist ihr Rechner vermutlich mit dem Bagle-Wurm infiziert.
Auf den folgenden Seiten geben wir Ihnen einen kurzen Überblick zur Funktionsweise des Wurms, damit Sie die eventuelle Infektion genauer eingrenzen können. Daneben stellen wir Ihnen kostenlose Desinfektionstools von Antiviren-Herstellern vor, damit Sie den Wurm von Ihrem Rechner entfernen können.
Der Wurm: Funktionsweise
Den wie schon erwähnt bei den AV-Herstellern unter verschiedenen Namen geführten Wurm werden wir im Folgenden kurz als Bagle.X bezeichnen.
Bei Bagle.X handelt es sich um einen Mass-Mailing-Wurm, den Sie vermutlich als UPX-gepackten Datei-Anhang (.ZIP) einer Mail erhalten haben. Daneben verbreitet sich Bagle.X aber auch über das Windows-Netzwerk.
Falls Sie Bagle.X via E-Mail erhalten haben, war der Betreff vermutlich einer der folgenden:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
New changes
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document
Als Nachrichtentext war vermutlich zu lesen:
For security reasons attached file is password protected. The password is
For security purposes the attached file is password protected. Password --
Note: Use password
Attached file is protected with the password for security reasons. Password is
In order to read the attach you have to use the following password:
Archive password:
Password
Password:
Der Wurm: Schadcode
Der eigentliche Schadcode des Wurms hing vermutlich als (vermeintliches) ZIP-Archiv an der Mail und trug einen der folgenden Dateinamen:
Information
Details
text_document
Readme
Document
Info
the_message
Details
MoreInfo
Message
You_will_answer_to_me
Half_Live
Counter_strike
Loves_money
the_message
Alive_condom
Joke
Toy
Nervous_illnesses
Manufacture
You_are_dismissed
Your_complaint
Your_money
Smoke
I_search_for_you
Beim Versuch, diese Datei zu öffnen und einzusehen, haben Sie aller Wahrscheinlichkeit nach folgendes Fenster zu sehen bekommen:
Diese Meldung stammt jedoch vom Wurm selbst, der in diesem Moment Ihren Rechner infiziert hat.
Anmerkung: Öffnen Sie unter keinen Umständen E-Mail-Anhänge, die Ihnen von Unbekannten oder ohne explizite Aufforderung zugesendet wurden. Auch von vermeintlich vertrauenswürdigen Personen zugesandte Anhänge können Schadsoftware enthalten, da die meisten Massmail-Würmer die Absender-Adresse fälschen. Fragen Sie im Zweifelsfall telefonisch beim Absender zurück, bevor Sie unverlangt zugesandte Attachments, gleich welchen Typs, öffnen.
Der Wurm: Schadfunktionen
Nach dem Start löscht der Wurm zunächst in der Registry des Rechners eventuell vorhandene Autostart-Einträge gängiger Antiviren-Programme, um diese dauerhaft auszuschalten. Zudem versucht er alle im Speicher laufenden Antiviren-Scanner-Prozesse zu beenden, um die Schutzsoftware auszuhebeln.
Anschließend legt der Wurm seine Schaddateien auf der Festplatte ab. Die Wurm-Dateien landen im System-Verzeichnis des Rechners, meist also in C:\\Windows\\System. Zu den schädlichen Files gehören unter anderem:
Drvddll.exe
Drvddll.exeopen
Drvddll.exeopenopenopen als .JPG, .GIF oder .BMP
Drvddll.exeopenopenopenopen, eine Textdatei mit sechs zufälligen Zeichen
Um bei jedem Rechnerstart erneut geladen zu werden, trägt sich der Wurm unter dem Schlüssel
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
mit dem Wert
"Drvddll_exe"="%system%\\drvddll.exe"
in die Registry ein.
Anschließend öffnet der Wurm auf Port 2535/tcp eine Backdoor, über die ein externer Angreifer den Rechner kontrollieren kann.
Anmerkung: Ob Ihr Rechner auf dem genannten Port auf Verbindungen wartet, können Sie in einem DOS-Fenster mit dem Befehl "netstat -a -p tcp" prüfen. Ist die Backdoor installiert, meldet netstat für den Port den Status "ABHÖREN" (Backdoor wartet) oder "HERGESTELLT" (Backdoor ist gerade aktiv).
Der Wurm: Weiterverbreitung
Einmal installiert, legt sich der Wurm in allen Verzeichnissen ab, die den Namensbestandteil "shar" tragen. Dies dient der Weiterverbreitung über Windows-Netzwerk-Freigaben ("Shares"). Die zugehörigen Dateinamen lauten:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Zudem durchsucht der Wurm alle greifbaren Adressbücher und Textdateien nach E-Mail-Adressen, an die er sich über seine eigene, integrierte Mail-Funktion weiterversendet.
Desinfektion
Um den Bagle-Wurm wieder los zu werden, können Sie eines der Desinfektions-Tools verwenden, die verschiedene Antiviren-Hersteller kostenlos bereitstellen. Bitte beachten Sie dabei jeweils die Ausführungen und Anweisung des jeweiligen Herstellers zur Säuberung des Rechners:
Symantec W32.Beagle@mm Removal Tool
Laden Sie das Werkzeug FxBeagle.exe herunter und starten Sie es.
Computer Associates Win32.Bagle Removal Tool
Laden Sie das Archiv clnbagle.zip herunter und entpacken Sie es. Starten Sie nach Lektüre von ReadMe.txt das Werkzeug ClnBagle.com.
Sie finden das passende Desinfektions-Tool über den Link zu "I-Worm.Bagle.a-j,n-r,z" unter "Ordered by Name".
Trend Micro (direkter Download!)
Lesen Sie vor dem Download die Beschreibung zum Wurm.
Weitere nützliche Hinweise zur Rechnersicherheit sowie aktuelle Tests von Virenscannern und Personal Firewalls finden Sie in unserem Channel zur Client-Sicherheit. Aktuelle Warnungen zu Sicherheitslücken in Hard- und Software bietet laufend unsere Security-Reports (jlu).