W32/Bagle.AY und AZ (bzw. .bj, .bk, .bl)

Hier ist die Rede von verschiedenen Bagle-Varianten, die jedoch sehr ähnlich sind. Die E-Mails, in welchen sich diese Würmer verbreiten, tragen diese Kennzeichen:

Absender: gefälschte Adresse, um Herkunft zu verschleiern

Im Betreff steht einer dieser Texte:

"Delivery by mail"

"Delivery service mail"

"Is delivered mail"

"Registration is accepted"

"You are made active"

Im Mail-Text steht nur einer dieser Texte:

"Thanks for use of our software"

"Before use read the help"

Die Beilage trägt einen dieser Dateinamen:

guupd02, Jol03, siupd02, upd02, viupd02, wsd01, zupd02.

Die Dateien haben eine dieser Dateiendungen:

.com, .cpl, .exe, .scr

Die Wurmdateien können Symbole (Icons) tragen, die unterschiedlich ausschauen, z.B. wie ein Stück Käse, ein Klemmbrett auf einem Serviertablett oder ein Symbol der Erde mit einem Telefonhörer. Ein Bild finden Sie z.B. bei F-Secure [1].

Solche Mails sollten Sie umgehend löschen, ohne die Beilage zu starten. Ansonsten handeln Sie sich untenstehenden Ärger ein:

Der Wurm nimmt folgende Änderungen am System vor:

Er kopiert sich unter den Dateinamen sysformat.exe, sysformat.exeopen und sysformat.exeopenopen in den Windows System-Ordner; also je nach Windows-Version z.B. in Ordner wie C:\Windows\System, C:\Windows\System32\ oder C:\Winnt\System32\.

Die Datei sysformat.exe trägt er in der Windows-Registry ein, damit sie bei jedem PC-Start geladen wird. Der Eintrag ist in diesem Registry-Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Und heisst so: "sysformat" = "%SystemDir%\sysformat.exe"

Manchmal (je nach Wurmvariante) erstellt er noch diese Registry-Einträge:

Zum Beispiel diesen Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Params

Mit diesem Eintrag: "riga" = "(Info über Infektionsdatum)"

Oder mit diesem: "TimeKey" = "(Info über Infektionsdatum)"

Und in diesem Zweig:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

Diesen Eintrag: "sysformat" = "%System%\sysformat.exe"

Falls der Wurm nicht vorher durch einen aktualisierten Virenscanner abgefangen wurde, versucht er Prozesse abzuschiessen, die von Antiviren- oder Firewall-Programmen stammen. Das betrifft unter anderem die Programme von McAfee, Panda, Kaspersky, Norton, Nod32, Dr. Web, Outpost und EScan.

Für die Verbreitung per Netzwerkfreigabe und P2P-Tauschbörse kopieren sich diese Bagle-Varianten in Ordner, welche die Zeichenfolge "shar" im Namen tragen. Damit erwischt er meist die von KaZaA, eDonkey und ähnlichen Programmen standardmässig verwendeten Ordnernamen. Dadurch hofft er, dass sich andere P2P-Benutzer aus Neugierde eine der Wurmdateien herunterladen und ihre PCs auf diesem Weg infizieren. Die Dateinamen, unter welchen sich der Wurm dort hineinkopiert, lauten etwa so:

1.exe

10.exe

2.exe

3.exe

4.exe

5.exe

6.exe

7.exe

8.exe

9.exe

ACDSee 9.exe

Adobe Photoshop 9 full.exe

Ahead Nero 7.exe

Matrix 3 Revolution English Subtitles.exe

Opera 8 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

WinAmp 6 New!.exe

Windown Longhorn Beta Leak.exe

XXX hardcore images.exe

Der Wurm durchsucht dann alle vorhandenen Laufwerke nach Adressbuch-, Text- oder Web-Dateien. An die darin gefundenen Adressen mailt sich Bagle automatisch weiter und sorgt so für seine Weiterverbreitung.

Die Schadensfunktion des Wurms:

Zum einen besteht diese natürlich aus der Mailflut, die er erzeugt. Des Weiteren öffnet er (je nach Wurm-Variante) den Port TCP 81 oder andere, zufällig gewählte Ports, beginnend mit TCP 2339. Er versucht ein Bild und zusätzliche Dateien von verschiedenen Webseiten herunter zu laden und seinen "Schöpfer" über die infizierten PCs zu informieren. Damit kann der Urheber des Wurms sein "Produkt" mit unbekannten, weiteren Funktionen ausstatten. Die infizierten PCs könnten so später als Spam-Verteiler oder für Angriffe auf Server missbraucht werden.

Beseitigung des Wurms:

Unter Windows Me und Windows XP sollten Sie zuerst die Systemwiederherstellungs-Funktion deaktivieren. Dies ist nötig, weil ansonsten die zu löschenden Registry-Einträge beim nächsten Start wieder erscheinen. Wenn Sie eine dieser Windows-Versionen haben, finden Sie hier [2] eine Anleitung, wie das Deaktivieren der Systemwiederherstellung funktioniert.

Ist die Systemwiederherstellung von Windows Me oder XP deaktiviert, oder wenn Sie eine andere Windows-Version haben, gehts hier weiter:

Starten Sie den Registry-Editor, indem Sie zu "Start/Ausführen" gehen, dort REGEDIT eintippen und OK anklicken. Manövrieren Sie sich durch Klicks auf die Pluszeichen vorsichtig zu den Registry-Zweigen, die in der obigen Beschreibung erwähnt sind und entfernen Sie die Einträge, die der Wurm gemacht hat (und nur diese!).

Starten Sie den PC danach neu und löschen Sie die Dateien sysformat.exe, sysformat.exeopen und sysformat.exeopenopen, die im Windows-Systemordner liegen. Bei Windows 95/98 und Me ist dies normalerweise der Ordner C:\Windows\System, bei Windows NT und 2000 C:\Winnt\System32 und bei Windows XP C:\Windows\System32.

Weitere Infos:

Zwei Tatsachen machen die genaue Zuordnung eines Wurmnamens schwierig. Einerseits waren schon vorher viele verschiedene Varianten von Bagle bekannt. Zweitens verhalten sich die Antivirus-Hersteller nicht alle gleich. Was beim einen als eine neue Variante gilt, sieht der andere als ein Exemplar einer bestehenden Wurm-Variante.

Die Schädlinge, über die wir hier schreiben, sind bei F-Secure als Bagle.AX [3] und Bagle.AY bekannt, bei Kaspersky ebenfalls ([4] und [5]), McAfee kennt die Varianten W32/Bagle.bj@MM [6], W32/Bagle.bk@MM [7] und W32/Bagle.bl@MM [8], Symantec beschreibt mit denselben Symptomen einen Schädling namens W32.Beagle.AZ@mm [9] und bei der TrendMicro-Beschreibung von WORM_BAGLE.AZ [10] gibts sogar ein Beseitigungs-Tool. Zumindest einige dieser Bagle-Varianten haben übrigens eine "Deadline": Am 25. April 2006 soll sich Bagle laut TrendMicro von selber deaktivieren und aus dem System löschen.