„Test, yep.“: Bagle geht um - Erstes Exemplar in Deutschland abgefangen

(PresseBox) ( München/Gloucester, )
MessageLabs, weltweit führender Managed Service Provider für E-Mail-Sicherheit, hat eine beträchtliche Anzahl von Kopien des neuen Schädlings W32/Bagle-mm abgefangen. Das erste Exemplar des Massmailers stammt aus Deutschland. Der Großteil der infizierten Mails stammt allerdings bis dato aus Australien. Die Verbreitung hält mit unveränderter Geschwindigkeit an.

Name: W32/Balge-mm Bisher abgefangene Kopien: 59.342 Uhrzeit und Datum des ersten Zwischenfalls: 18. Januar 2004, 11:36 GMT Ursprungsland der ersten infizierten E-Mail: Deutschland

Allgemeines Der Wurm befindet sich in einem Attachment an einer E-Mail-Nachricht. Der Dateiname ist zufällig generiert, die Dateinamen-Erweiterung ist .exe. W32/Bagle-mm durchsucht den infizierten Rechner nach E-Mail-Adressen und verbreitet sich anschließend über eine integrierte SMTP-Engine weiter. So genannte „Social Engineering Techniques“ arbeiten mit dem jeweiligen User vertrauten Dateinamen und animieren so zum fatalen Doppelklick, der zum Start des angehängten .exe-Files führt.

Weitere Analysen lassen vermuten, dass W32/Bagle-mm eine Backdoor-Komponente beinhaltet, die infizierte Rechner automatisch an Hacker-Kreise meldet, sobald eine Verbindung zum entsprechenden System hergestellt ist. Der Wurm versucht unter Umständen auch, den Download einer unter dem Namen Backdoor-CBJ bekannte Trojaner-Komponente zu initialisieren. Dieser Trojaner kann dann als Proxy Server fungieren, der wiederum weiteren Code installiert, um schließlich via Key-Logging an Passwörter zu gelangen.

W32/Bagle-mm verfügt über ein Verfallsdatum: Ab 28. Januar sollte die Gefahr gebannt sein.

Charakteristika betroffener E-Mails

Subject: Hi Text: Test =) -- Test, yep.

Attachment: .exe

Dateigröße: 15 kilobytes

“Wir haben bis dato über 60.000 Exemplare von Bagle abgefangen, Tendenz weiterhin steigend”, so Paul Wood, Chief Information Security Analyst bei MessageLabs. „Erstaunlicherweise bedient sich der Schädling nur sehr rudimentärer Social-Engineering-Techniken und enthält zudem ein Executable als Attachment. Dennoch weist Bagle auch Parallelen zum Rekord-Virus SoBig auf: Er verfügt über ein Verfallsdatum und versucht, den Download einer Trojaner-Proxy-Komponente zu initalisieren. Weitere Analysen werden zeigen, ob Bagle das Werk desselben Virenschreibers ist.“

MessageLabs hat alle Stränge dieses Virus mit Hilfe seiner patentierten heuristischen Technologie Skeptic proaktiv erkannt und abgefangen. Weitere Informationen finden Sie unter http://www.messagelabs.com/intelligence
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.