W32/Bagle (Beagle)

Die E-Mail, in welcher sich der Bagle-Wurm verbreitet, trägt diese Kennzeichen:

Betreff: Hi

Mail-Text:

"Test =)

<zufällige Zeichen>

--

Test, yep."

Die Beilage ist eine Datei mit zufällig gewähltem Namen und der Endung EXE, zum Beispiel lpbdpim.exe. Die Beilage trägt offenbar meist das Icon des Windows-Taschenrechners, siehe auch Screenshot bei F-Secure [1].

Wer diese Beilage unter Windows öffnet, startet den Wurm und infiziert den PC. Der Wurm nimmt folgende Änderungen am System vor:

Er kopiert sich mit dem Dateinamen bbeagle.exe in den Windows-Ordner. Damit diese Datei bei jedem Windows-Start mitgeladen wird, erstellt Bagle einen Eintrag in der Windows-Registry.

In diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ist es dieser Eintrag:

"d3dupdate.exe" = "%system%\bbeagle.exe"

Damit der Wurm es selber merkt, falls er auf dem neu befallenen System schon einmal ausgeführt wurde, erstellt er noch weitere Einträge in der Registry, und zwar in diesem Zweig:

HKEY_CURRENT_USER\Software\Windows98

Zum Einen ein Eintrag "frun" und einen namens "uid".

Ein Symptom für die Anwesenheit des Wurms könnte sein, dass er beim ersten Start den Taschenrechner ausführt.

Der Wurm durchsucht dann alle vorhandenen Laufwerke nach Dateien mit den Endungen .WAB, .TXT, .HTM, .HTML, .R1. An die darin gefundenen Adressen mailt sich Bagle automatisch weiter und sorgt so für seine Weiterverbreitung.

Die Schadensfunktion des Wurms:

Zum einen besteht diese natürlich aus der Mailflut, die der Wurm erzeugt. Zusätzlich versucht der Wurm auch einen Trojaner namens "Mitglied" herunterzuladen.

Beseitigung des Wurms:

Unter Windows Me und Windows XP sollten Sie zuerst die Systemwiederherstellungs-Funktion deaktivieren. Dies ist nötig, weil ansonsten die zu löschenden Registry-Einträge beim nächsten Start wieder erscheinen. Wenn Sie eine dieser Windows-Versionen haben, finden Sie hier [2] eine Anleitung, wie das Deaktivieren der Systemwiederherstellung funktioniert.

Ist die Systemwiederherstellung von Windows Me oder XP deaktiviert, oder wenn Sie eine andere Windows-Version haben, gehts so weiter:

Starten Sie den Registry-Editor, indem Sie zu "Start/Ausführen" gehen, dort REGEDIT eintippen und OK anklicken. Manövrieren Sie sich durch Klicks auf die Pluszeichen vorsichtig zu diesem Zweig und klicken Sie ihn an, damit Sie in der rechten Hälfte des Registry-Editor-Fensters seine Einträge sehen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Machen Sie nun in der rechten Hälfte des Fensters den Eintrag "d3dupdate.exe" ausfindig, der auf die Datei bbeagle.exe verweist. Klicken Sie diesen Eintrag mit der rechten Maustaste an und wählen Sie im Kontextmenü den Befehl "Löschen".

Sie können auch diese Einträge löschen, auch wenn diese eigentlich nichts anderes tun, als dem Wurm seine eigene Anwesenheit zu melden:

Zweig: HKEY_CURRENT_USER\Software\Windows98

Einträge: "frun" und "uid"

Starten Sie den PC danach neu und löschen Sie die Datei bbeagle.exe, die im Windows-Systemordner liegt. Bei Windows 95/98 und Me ist dies normalerweise der Ordner C:\Windows\System, bei Windows NT und 2000 C:\Winnt\System32 und bei Windows XP C:\Windows\System32.

Sonstiges:

Symantec kennt den Wurm unter dem Namen W32.Beagle.A@mm. Gemäss deren Analyse [3] verbreite sich der Wurm nicht weiter, wenn das Datum später als der 28. Januar ist. Der Wurm ist auch bei anderen Antivirus-Herstellern schon bekannt: Kaspersky [4] nennt ihn I-Worm.Bagle, bei McAfee heisst er W32/Bagle@MM [5].

Führen Sie niemals Mailbeilagen aus, sofern Sie nicht genau wissen, was diese mit Ihrem PC vorhat.