W32/Bagle.B und neue Varianten (inkl. Tanx.A)

Im Juli 2004 wurden wieder vermehrt neue Bagle-Varianten entdeckt. Im Wesentlichen ähneln diese jenen, die schon seit Februar unterwegs sind.

Schon am 17. Februar 2004 war eine neue Variante des Bagle-Wurms [1] gefunden worden und seither viele weitere mehr. Die Mails, in denen beispielsweise Bagle.B eintrifft, haben diese Kennzeichen:

Absenderadresse: gefälscht

Betreff: "ID (zufällige Zeichen)... thanks"

Beilage: (zufällige Zeichen).exe

Mail-Text:

"Yours ID (zufällige Zeichen)

--

Thank"

Ein Beispiel sehen Sie hier; in manchen Mailprogrammen hat die Beilage statt des hier abgebildeten Symbols jenes einer Sounddatei:

Wenn der Benutzer so unvorsichtig ist, die Wurm-Beilage zu doppelklicken, dann geschieht folgendes:

Der Wurm startet den Windows-Sound-Recorder; dies ist eine Datei namens sndrec32.exe, die auf den meisten Windows-PCs vorhanden ist.

Danach kopiert sich der Wurm unter dem Dateinamen au.exe in den Windows System-Ordner, also je nach Windows-Version hier hin:

Windows 98/ME: C:\Windows\System\au.exe

Windows 2000: C:\Winnt\System32\au.exe

Windows XP: C:\Windows\System32\au.exe

Die Datei trägt er in die Registry ein, damit der Wurm bei jedem Windows-Start ausgeführt wird. Der Eintrag erfolgt in diesem Registry-Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet:

"au.exe" = (Systemordner)\au.exe

Zusätzlich fügt der Wurm die folgenden Einträge in der Registry hinzu:

HKEY_CURRENT_USER\Software\Windows2000\gid

HKEY_CURRENT_USER\Software\Windows2000\frn

Gemäss Informationen der finnischen Antivirus-Experten von F-Secure [2] habe man herausgefunden, dass der Bagle.B-Wurm am 25. Februar mit seiner Verbreitung aufhöre.

Schäden:

Der Wurm installiert in der Internetverbindung infizierter PCs eine sehr gefährliche Hintertüre. Bagle.B öffnet nämlich den so genannten Port [3] Nummer 8866, an dem er fortan auf Befehle von aussen wartet. Nun kann ein Angreifer, der um die Beschaffenheit des Wurms Bescheid weiss, jede beliebige ausführbare Datei durch diesen Port einschleusen und sofort ausführen lassen. So könnten also auf dem PC des Benutzers noch weitere Schadensprogramme installiert werden.

Auch wenn der Wurm sich nur noch bis zum 25. Februar verbreitet, wird sich der Port an diesem Datum natürlich nicht von selber schliessen. Wer sich den Bagle.B-Wurm einfängt und diesen nicht entfernt, könnte also früher oder später mit sehr unerfreulichen Überraschungen konfrontiert werden.

Manuelle Beseitigung:

Vorbereitung: Falls Sie Windows Me oder XP haben, müssen Sie zuerst die Systemwiederherstellung deaktivieren, sonst ist der unliebsame Registry-Eintrag nach dem nächsten PC-Start wieder da. Wie Sie diese Funktion ausschalten, lesen Sie in diesem [4] Kummerkasten-Artikel.

Seien Sie beim Hantieren mit dem Registry-Editor vorsichtig!

Starten Sie den Registry-Editor (Start/Ausführen: regedit.exe) und navigieren Sie sich zu diesem Zweig durch und klicken Sie ihn an, damit Sie in der rechten Fensterhälfte dessen Einträge sehen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Klicken Sie mit Rechts auf den Eintrag "au.exe" und wählen Sie Löschen. Starten Sie den PC neu und löschen Sie nun die Datei au.exe, die im Windows-Systemordner sitzt, also z.B. hier:

Windows 98/ME: C:\Windows\System\au.exe

Windows 2000: C:\Winnt\System32\au.exe

Windows XP: C:\Windows\System32\au.exe

Automatische Beseitigung:

Falls Sie den Wurm nicht manuell entfernen möchten, können Sie auch zu einem Beseitigungs-Tool von F-Secure greifen. Dieses entfernt nicht nur Bagle.B, sondern auch dessen Vorgänger Bagle.A.

Erstellen Sie direkt im Laufwerk C: einen Ordner mit einem kurzen Namen, z.B. "bfix". Hierfür öffnen Sie einfach den Arbeitsplatz und das Laufwerk C:. Nun können Sie mit rechts in einen freien Bereich klicken und im Kontextmenü "Neu/Ordner" anklicken. Tippen Sie danach den Namen des Ordners (bfix) ein und bestätigen Sie mit Enter.

Laden Sie von hier [5] das Programm "f-bagle.exe" herunter und speichern Sie dieses in den soeben erstellten Ordner, damit die Datei nun hier liegt:

C:\bfix\.

Öffnen Sie nun ein DOS-Fenster: Gehen Sie zu Start/Ausführen, tippen Sie COMMAND oder CMD ein und drücken Sie Enter. Nun sollten Sie ein schwarzes DOS-Fenster mit weiss blinkendem Cursor vor sich haben. Wenn Sie das Beseitigungsprogramm wie oben erwähnt im Order C:\bfix\ gespeichert haben, tippen Sie nun genau dies ein: C:\bfix\f-bagle

Bestätigen Sie den Befehl per Enter-Taste. Nun wird das Beseitigungsprogramm die Registry-Einträge und Dateien entfernen, die von den Würmern Bagle.A und Bagle.B erstellt wurden.

Bitte installieren Sie die aktuelle Version eines Virenscanners und aktualisieren Sie diesen gemäss Handbuch via Internet. Scannen Sie damit unbedingt alle vorhandenen Laufwerke, denn jemand könnte durch den offenen Port bereits weitere Schädlinge eingeschleust haben.

Ausser F-Secure kennen auch andere Antiviren-Hersteller den Wurm bereits, so zum Beispiel Kaspersky [6], NAI [7], Symantec [8] oder Sophos [9]. Letztere nennen den Wurm aber nicht Bagle, sondern "W32/Tanx.A"

Update 08.03.2004:

Wieder neue Varianten:

Es wird vermutet, dass die Virenschreiber-Cliquen von Bagle und Netsky [10] einander gegenseitig bekämpfen und das Internet als eine Art Spielplatz für ihren kindischen Kleinkrieg missbrauchen. Denn in den Quelltexten beider Wurm-Familien wurden kurze beleidigende Mitteilungen an die jeweils andere Viren-Clique gefunden. Das wird auch der Hauptgrund sein, warum innerhalb von wenigen Tagen mehrere neue Varianten beider Würmer entdeckt wurden.

Mindestens zwei neue Varianten von Bagle (Bagle.H [11] und Bagle.J [12]) verwenden einen neuen Trick, um sich an Virenscannern vorbei zu schmuggeln: Da einige Virenscanner keine gezippten Dateien prüfen, steckt die Wurm-Beilage in einer passwortgeschützten Zip-Datei. Das Passwort, das zum Öffnen der Datei erforderlich ist, wird im Mailtext erwähnt. In den Mails, die Bagle.J verschickt, wird z.B. behauptet, die Mail käme vom Provider oder Arbeitgeber des Empfängers und man solle sich die Instruktionen anschauen, die in der Beilage stecken. Öffnen Sie keine unerwarteten Mail-Beilagen; auch wenn es sich um Zip-Files handelt.

Update 20.07.2004, mehrere neue Varianten:

In den letzten Wochen und Monaten sind einige neue Bagle-Varianten aufgetaucht, die sich nicht so stark verbreiteten. Mitte Juli 2004 ist aber wieder eine stärkere Aktivität der Virenschreiber-Szene zu verzeichnen. Die neuen Bagle-Varianten unterscheiden sich nicht allzu stark von den früheren: Sie verschicken sich mit gefälschtem Absender an Adressen, die sie in Dateien auf dem infizierten PC gefunden haben. Die Wurm-Beilage der Mails kann in passwortgeschützten Zip-Dateien stecken. Zudem verbreiten sich die Bagles auch über Ordner mit der Zeichenfolge "shar" im Namen; also oft jene Ordner, die für Tauschbörsen (KaZaa, Bearshare etc.) freigegeben wurden. Und nicht zuletzt hinterlassen diese Würmer in infizierten PCs eine Hintertüre für Cracker. Diese könnten den PC via Internet übernehmen und für kriminelle Aktivitäten (DoS-Attacken auf andere Server, Spamming) missbrauchen.

In der McAfee-Beschreibung zu Bagle.ag [13] ist das Stinger-Tool verlinkt, mit welchem sich auch neuere Bagle-Varianten beseitigen lassen sollen.