W32/Bagle.AL alias Bagle.AQ

Bagle.AL ist eine Variante des Bagle-Wurms [1], der erstmals im Januar dieses Jahres gesichtet wurde. Laut Weblog [2] des finnischen Sicherheitsunternehmens F-Secure wurde der Wurm durch seinen Autoren an eine Vielzahl von E-Mail-Adressen gespammt, um eine möglichst grosse Ausbreitung zu erzielen. Das scheint ihm vorerst auch gelungen zu sein.

Kennzeichen von Mails, welche die neue Variante im Schlepptau haben:

Wie bei den meisten Würmern ist die Absenderadresse gefälscht. Der Betreff ist leer und die Beilage ist eine Zip-Datei, die das Wort "price" im Namen trägt, etwa new_price.zip, price_new.zip, price_08.zip oder ähnlich.

Gemäss der Beschreibung von McAfee [3] (dort heisst der Wurm Bagle.AQ) enthält das Zip-File sowohl eine HTML- als auch eine EXE-Datei. Wird die HTML-Datei von einem unvorsichtigen Benutzer gestartet, führt diese ihrerseits die EXE-Datei aus. Diese bewirkt folgendes:

Der Wurm legt zwei Dateien mit dem Namen Windirect.exe und _dll.exe in den Windows-Systemordner ab (z.B. in C:\Windows\System32 oder C:\Winnt\System32 oder C:\Windows\System).

Er erstellt folgende Einträge in der Windows-Registry:

In diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Diese beiden Einträge:

"win_upd2.exe" = C:\(Windows-System-Ordner)\windll.exe

"erthgdr" = C:\(Windows-System-Ordner)\windll.exe

Und in diesem Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Diesen Eintrag:

"win_upd2.exe" = C:\(Windows-System-Ordner)\windll.exe

Ferner erzeugt er noch einen eigenen Registry-Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n

Der Schädling lädt nachträglich die Datei Windll.exe herunter und speichert sie im zu den Registry-Einträgen passenden System-Ordner. Bagle.AL bzw. AQ erzeugt im System-Ordner zwei weitere Dateien mit den namen windll.exeopen und windll.exeopenopen.

Der Wurm verbreitet sich weiter, indem er sich mit den eingangs erwähnten Merkmalen automatisch an Adressen verschickt, die er auf dem infizierten System in verschiedenen Mail-, Office- oder Web-Dateien findet. Als zweite Verbreitungsmöglichkeit erzeugt er Kopien von sich in Ordnern, die im Namen die Zeichenfolge "shar" tragen. Diese gehören meist zu Filesharing-Programmen wie Kazaa oder eMule. Um potentielle Opfer zu ködern, verwendet er hierfür Dateinamen wie diese:

Microsoft Office 2003 Crack, Working!.exe

Microsoft Windows XP, WinXP Crack, working Keygen.exe

Microsoft Office XP working Crack, Keygen.exe

Porno, sex, oral, anal cool, awesome!!.exe

Porno Screensaver.scr

Serials.txt.exe

KAV 5.0

Kaspersky Antivirus 5.0

Porno pics arhive, xxx.exe

Windows Sourcecode update.doc.exe

Ahead Nero 7.exe

Windown Longhorn Beta Leak.exe

Opera 8 New!.exe

XXX hardcore images.exe

WinAmp 6 New!.exe

WinAmp 5 Pro Keygen Crack Update.exe

Adobe Photoshop 9 full.exe

Matrix 3 Revolution English Subtitles.exe

ACDSee 9.exe

Schäden:

Diese Bagle-Variante öffnet in der Internetverbindung eine Hintertüre, die von einem Angreifer für verschiedene Zwecke missbraucht werden kann. Zudem schiesst er Prozesse ab, die vom Namen her zu Firewall- oder Antivirenprogrammen gehören könnten.

Anders als die meisten Würmer manipuliert er die Windows-Registry nicht nur, indem er dort eigene Einträge erstellt, sondern auch, indem er welche löscht. Hierbei hat er es speziell auf Einträge abgesehen, die entweder zu konkurrierenden Würmern oder zu Sicherheitsprogrammen gehören können. Dies tut er in diesen Registry-Zweigen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Beseitigung des Wurms:

Wie immer ist es ratsam, den Wurm gar nicht erst aufs System zu lassen. Öffnen Sie keine unbekannten Mailbeilagen und aktualisieren Sie die Virensignaturen Ihrer Antivirensoftware. Die meisten Virenscanner werden in den nächsten Updates passende Erkennungsmuster mitliefern. Es ist auch zu erwarten, dass einige der unten verlinkten Hersteller in Kürze spezielle Beseitigungstools bereitstellen. Bis dahin muss der Wurm - falls sich Ihr PC angesteckt hat - manuell entfernt werden. Folgendes Vorgehen müsste klappen:

Wenn Sie Windows Me oder Windows XP verwenden, sollten Sie zuerst die Systemwiederherstellungs-Funktion ausschalten. Andernfalls könnte es passieren, dass Windows Ihnen beim nächsten PC-Neustart ausgerechnet den Wurm und dessen Registry-Einträge wiederherstellt. Das Vorgehen beschreiben wir im Kummerkasten-Artikel mit Webcode 26316 [4].

Starten Sie den PC danach in den abgesicherten Modus, indem Sie nach dem Einschalten die Taste F8 drücken und im Menü den "Abgesicherten Modus" auswählen. Dort angekommen starten Sie den Registry-Editor via "Start/Ausführen" und der Eingabe von REGEDIT. Seien Sie nun beim Editieren der Registry sehr vorsichtig; bei einer Fehlmanipulation kann Ihre Windows-Installation grösseren Schaden nehmen.

Navigieren Sie im Registry-Editor über Klicks auf die Pluszeichen zu diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Löschen Sie dort diese drei Einträge, falls vorhanden:

"win_upd2.exe" = C:\(Windows-System-Ordner)\WINdirect.exe

"win_upd2.exe" = C:\(Windows-System-Ordner)\windll.exe

"erthgdr" = C:\(Windows-System-Ordner)\windll.exe

Anschliessend tun Sie dasselbe in diesem Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Mit diesem Eintrag, falls vorhanden:

"win_upd2.exe" = C:\(Windows-Ordner)\SYSTEM32\windll.exe

Löschen Sie diese Dateien aus dem Windows-System-Ordner:

WINdirect.exe

windll.exe

windll.exeopen

windll.exeopenopen

Diesen Ordner finden Sie je nach Windows-Version hier:

Win9x und WinME: C:\Windows\System

WinNT 4.0 und Win2000: C:\Winnt\System32

WinXP: C:\Windows\System32

Starten Sie den PC jetzt wieder im normalen Modus und aktualisieren Sie Ihren Virenscanner via Internet. Führen Sie einen Komplettscan Ihrer Festplatten durch, um weitere vom Wurm abgelegte Dateien aufzuspüren und zu löschen. Anschliessend schalten Sie die Wiederherstellungsfunktion wieder ein.

Zum Zeitpunkt der Veröffentlichung dieses Artikels waren neben den bereits erwähnten Beschreibungen auch Informationen von folgenden Antivirussoftware-Herstellern verfügbar:

Bei F-Secure wird der Wurm unter dem Namen Bagle.AL geführt [5], bei Symantec heisst diese Variante W32.Beagle.AO@mm [6], Norman kennt ihn als W32/Bagle.AI [7] und bei CAI scheint man dem gleichen Wurm den Namen Win32.Bagle.AG gegeben zu haben [8].