W32/Bagle.KL: Wurm mit Passwort

Eigentlich hatten wir uns schon an die relative Ruhe beim Thema "Mailwürmer" gewöhnt. Die früher häufig gesehenen grossen Wurmwellen blieben komplett aus, während neue Gefahren zunahmen, wie z.B. Phishing, Spyware, diverse Betrugsmaschen sowie gezielte Trojaner-Angriffe auf Firmennetzwerke. Doch nun versucht es ein Malware-Schreiber erneut mit einer etwas revidierten Variante des Bagle-Wurms [1]. Der Wurm wird in E-Mails verbreitet, die folgende Merkmale aufweisen:

Wie bei fast allen Würmern der vergangenen Jahre ist die als "Absender" eingetragene Mailadresse gefälscht. Stattdessen verwendet der Wurm in seinen Mails eine frei erfundene oder irgendwo aufgelesene Adresse als Absender.

Im Betreff dieser Bagle-Mails steht nur ein Vorname, wie z.B. "Samuell" oder "Danyell". Der in HTML gehaltene Mailtext enthält einen kurzen Satz, zum Beispiel "To the beloved" oder "I love you". Darunter steht jeweils "Zip password", gefolgt von einem Zahlen-Kennwort zum Öffnen der angehängten schädlichen Datei. Das Kennwort steht übrigens nicht als Text in der Mail, sondern steckt im ebenfalls beiliegenden GIF-Bild:

Der Name der schädlichen Zip-Datei variiert. Die hier abgefangenen Exemplare benutzten als Dateinamen "Christean.zip" und "Margret.zip".

Indem die Wurmschreiber eine passwortgeschützte Zip-Datei verwenden, wollen sie der Entdeckung durch Virenscanner entgehen: Wenn das Kennwort einen Virenscanner daran hindert, die Datei zwecks Prüfung zu öffnen, steigt die Chance, die Mail an ihm vorbei direkt zum Empfänger zu schmuggeln. Dies bestätigt auch Graham Cluley, Technologie-Experte beim britischen Antivirushersteller Sophos [2].

Auch die Antivirenforscher von McAfee haben einiges über diese Bagle-Variante herausgefunden. Was der Schädling mit dem infizierten PC alles anstellt, ist allerhand: Um nicht nachträglich noch entdeckt zu werden, versucht er die Prozesse diverser Antiviren- und Sicherheitsprogramme abzuschiessen. Er macht sich dann daran, zusätzliche Schadprogramme von rund hundert verschiedenen Websites herunter zu laden, die hauptsächlich in Polen, Russland und Tschechien stehen. Ferner installiert diese Bagle-Variante ein Rootkit, mit dessen Hilfe sämtliche Dateien und Ordner versteckt werden, welche das Wort "share" enthalten. Bagle enthält ausserdem eine "Hintertür", über die der Angreifer zusätzliche Änderungen im nun kompromittierten System vornehmen kann. Durch die Änderung eines Registry-Eintrags verhindert Bagle ein Aufstarten des PCs im abgesicherten Modus, womit er dem Benutzer ein wichtiges Werkzeug zum Entfernen von Schädlingen raubt.

Nach der Infektion des PCs und der Aufnahme der Trojaner-Tätigkeit macht sich der Wurm an seine Vermehrung. Hierfür hat sich der Virenautor jedoch nichts Neues einfallen lassen: Wie bei dieser Art von Würmern üblich, verschickt sich Bagle.KL an alle Mailadressen, die er in verschiedensten Mail- und Textdateien auf dem infizierten PC findet.

Wegen des enthaltenen Rootkits und der Trojanerkomponenten ist es nicht sinnvoll, einen mit Bagle.KL befallenen PC bloss per Virenscanner oder durchs Löschen einzelner Dateien säubern zu wollen. Man wäre niemals sicher, welche zusätzlichen schädlichen Anwendungen inzwischen auf dem System gelandet sind oder welche Manipulationen ein Angreifer bereits daran vorgenommen hat. Stattdessen sollte die betroffene Windows-Systempartition formatiert und das System komplett neu installiert werden.

Und noch etwas hat sich seit der letzten Wurmwelle nicht geändert: Die Antivirus-Hersteller haben der neuen Bagle-Variante unterschiedliche Namen gegeben. Bei Kaspersky wird der Wurm z.B. als Email-Worm.Win32.Bagle.fy bezeichnet. Bei Sophos ist er als W32/Bagle-KL bekannt, bei Symantec [3] heisst er W32.Beagle.FF@mm und McAfee taufte den Schädling W32/Bagle.fb@MM [4].