News
09.08.2004, 22:15 Uhr
W32/Bagle.AL alias Bagle.AQ
Am Abend des 9. August 2004 haben diverse Hersteller von Antivirensoftware den Fund einer neuen Bagle-Variante gemeldet. Da der Wurm offenbar anfangs mit Spammer-Methoden verbreitet wurde, sind viele Infektionen zu erwarten.
Bagle.AL ist eine Variante des Bagle-Wurms [1], der erstmals im Januar dieses Jahres gesichtet wurde. Laut Weblog [2] des finnischen Sicherheitsunternehmens F-Secure wurde der Wurm durch seinen Autoren an eine Vielzahl von E-Mail-Adressen gespammt, um eine möglichst grosse Ausbreitung zu erzielen. Das scheint ihm vorerst auch gelungen zu sein.
Kennzeichen von Mails, welche die neue Variante im Schlepptau haben:
Wie bei den meisten Würmern ist die Absenderadresse gefälscht. Der Betreff ist leer und die Beilage ist eine Zip-Datei, die das Wort "price" im Namen trägt, etwa new_price.zip, price_new.zip, price_08.zip oder ähnlich.
Gemäss der Beschreibung von McAfee [3] (dort heisst der Wurm Bagle.AQ) enthält das Zip-File sowohl eine HTML- als auch eine EXE-Datei. Wird die HTML-Datei von einem unvorsichtigen Benutzer gestartet, führt diese ihrerseits die EXE-Datei aus. Diese bewirkt folgendes:
Der Wurm legt zwei Dateien mit dem Namen Windirect.exe und _dll.exe in den Windows-Systemordner ab (z.B. in C:\Windows\System32 oder C:\Winnt\System32 oder C:\Windows\System).
Er erstellt folgende Einträge in der Windows-Registry:
In diesem Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Diese beiden Einträge:
"win_upd2.exe" = C:\(Windows-System-Ordner)\windll.exe
"erthgdr" = C:\(Windows-System-Ordner)\windll.exe
Und in diesem Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Diesen Eintrag:
"win_upd2.exe" = C:\(Windows-System-Ordner)\windll.exe
Ferner erzeugt er noch einen eigenen Registry-Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n
Der Schädling lädt nachträglich die Datei Windll.exe herunter und speichert sie im zu den Registry-Einträgen passenden System-Ordner. Bagle.AL bzw. AQ erzeugt im System-Ordner zwei weitere Dateien mit den namen windll.exeopen und windll.exeopenopen.
Der Wurm verbreitet sich weiter, indem er sich mit den eingangs erwähnten Merkmalen automatisch an Adressen verschickt, die er auf dem infizierten System in verschiedenen Mail-, Office- oder Web-Dateien findet. Als zweite Verbreitungsmöglichkeit erzeugt er Kopien von sich in Ordnern, die im Namen die Zeichenfolge "shar" tragen. Diese gehören meist zu Filesharing-Programmen wie Kazaa oder eMule. Um potentielle Opfer zu ködern, verwendet er hierfür Dateinamen wie diese:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Schäden:
Diese Bagle-Variante öffnet in der Internetverbindung eine Hintertüre, die von einem Angreifer für verschiedene Zwecke missbraucht werden kann. Zudem schiesst er Prozesse ab, die vom Namen her zu Firewall- oder Antivirenprogrammen gehören könnten.
Anders als die meisten Würmer manipuliert er die Windows-Registry nicht nur, indem er dort eigene Einträge erstellt, sondern auch, indem er welche löscht. Hierbei hat er es speziell auf Einträge abgesehen, die entweder zu konkurrierenden Würmern oder zu Sicherheitsprogrammen gehören können. Dies tut er in diesen Registry-Zweigen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Beseitigung des Wurms:
Wie immer ist es ratsam, den Wurm gar nicht erst aufs System zu lassen. Öffnen Sie keine unbekannten Mailbeilagen und aktualisieren Sie die Virensignaturen Ihrer Antivirensoftware. Die meisten Virenscanner werden in den nächsten Updates passende Erkennungsmuster mitliefern. Es ist auch zu erwarten, dass einige der unten verlinkten Hersteller in Kürze spezielle Beseitigungstools bereitstellen. Bis dahin muss der Wurm - falls sich Ihr PC angesteckt hat - manuell entfernt werden. Folgendes Vorgehen müsste klappen:
Wenn Sie Windows Me oder Windows XP verwenden, sollten Sie zuerst die Systemwiederherstellungs-Funktion ausschalten. Andernfalls könnte es passieren, dass Windows Ihnen beim nächsten PC-Neustart ausgerechnet den Wurm und dessen Registry-Einträge wiederherstellt. Das Vorgehen beschreiben wir im Kummerkasten-Artikel mit Webcode 26316 [4].
Starten Sie den PC danach in den abgesicherten Modus, indem Sie nach dem Einschalten die Taste F8 drücken und im Menü den "Abgesicherten Modus" auswählen. Dort angekommen starten Sie den Registry-Editor via "Start/Ausführen" und der Eingabe von REGEDIT. Seien Sie nun beim Editieren der Registry sehr vorsichtig; bei einer Fehlmanipulation kann Ihre Windows-Installation grösseren Schaden nehmen.
Navigieren Sie im Registry-Editor über Klicks auf die Pluszeichen zu diesem Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Löschen Sie dort diese drei Einträge, falls vorhanden:
"win_upd2.exe" = C:\(Windows-System-Ordner)\WINdirect.exe
"win_upd2.exe" = C:\(Windows-System-Ordner)\windll.exe
"erthgdr" = C:\(Windows-System-Ordner)\windll.exe
Anschliessend tun Sie dasselbe in diesem Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Mit diesem Eintrag, falls vorhanden:
"win_upd2.exe" = C:\(Windows-Ordner)\SYSTEM32\windll.exe
Löschen Sie diese Dateien aus dem Windows-System-Ordner:
WINdirect.exe
windll.exe
windll.exeopen
windll.exeopenopen
Diesen Ordner finden Sie je nach Windows-Version hier:
Win9x und WinME: C:\Windows\System
WinNT 4.0 und Win2000: C:\Winnt\System32
WinXP: C:\Windows\System32
Starten Sie den PC jetzt wieder im normalen Modus und aktualisieren Sie Ihren Virenscanner via Internet. Führen Sie einen Komplettscan Ihrer Festplatten durch, um weitere vom Wurm abgelegte Dateien aufzuspüren und zu löschen. Anschliessend schalten Sie die Wiederherstellungsfunktion wieder ein.
Zum Zeitpunkt der Veröffentlichung dieses Artikels waren neben den bereits erwähnten Beschreibungen auch Informationen von folgenden Antivirussoftware-Herstellern verfügbar:
Kommentare
Es sind keine Kommentare vorhanden.