Die Bagle-Familie meldet sich zurück

Juli 16, 2004 Sophos Press Release

Der Wurm wendet einen altbekannten Trick an: Er versucht die Empfänger mit zufällig generierten Betreff-Zeilen, Text-Botschaften und Daten-Anhängen zu verwirren, damit sie auf den Anhang klicken. Sobald der Wurm den Rechner infiziert hat, versucht er, die Antiviren-Software und andere Sicherheitsprodukte zu deaktivieren. Zusätzlich öffnet er eine Hintertür auf dem infizierten Rechner, damit Hacker den Rechner übernehmen und Spam-Mails von diesem Computer verschicken können.

"Bagle-AF ist nur sehr schwer mit dem bloßen Auge zu erkennen, aber er kann dennoch sehr leicht gestoppt werden. Es gelten die beiden Grundregeln, nie auf unangefordert geschickte E-Mail-Anhänge zu klicken und die Antiviren-Software stets aktuell zu halten", meint Gernot Hacker, Director of Technology bei Sophos. "Nur wer diese beiden einfachen Regeln befolgt, kann sich vor unangenehmen Überraschungen schützen. Schließlich möchte man vermeiden, dass sich der eigene PC plötzlich als Spamschleuder entpuppt, von der man nichts weiß."

Ähnlich wie die anderen Bagle-Varianten veranlasst der neue Wurm die infizierten Computer dazu, automatisch Nachrichten an eine Reihe von deutschen Websites zu verschicken. Dabei gibt er vor, aus Deutschland zu stammen. Seit der Verhaftung des Sasser- und Netsky-Autors Sven J. im Mai 2004 hat es nur noch sehr wenige Virenaktivitäten in Deutschland gegeben.

"Zu Beginn des Jahres konnten wir nahezu jeden Tag eine neue Bagle-Variante beobachten, da sich der Autor einen Viren-Krieg mit dem verhafteten Sven J. lieferte. Aber seit dessen Verhaftung ist die deutsche Virenschreiber-Gemeinschaft in Deckung gegangen", fährt Gernot Hacker fort. "Mit Bagle-AF meldet sie sich nun zurück, aber mit etwas Glück können die Behörden auch diesen Viren-Autor fassen."

Weitere Informationen über W32/Bagle-AF finden Sie in der Virenanalyse.