Der deutsche Antivirenspezialist H+BEDV Datentechnik http://www.antivir.de warnt alle
Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows
Server 2003 vor einer neuen Variante des Bagle-Wurms. „Bagle.AX“ verbreitet sich
mit sehr hoher Geschwindigkeit via E-Mail- und P2P-Versand. Das Schadens- und
Verbreitungspotenzial des Schädlings wird von den Virenexperten als extrem hoch
eingeschätzt.
Der Wurm verbreitet sich über Peer-To-Peer (P2P)-Netzwerke und via E-Mail mit
Hilfe seiner eigenen SMTP-Engine. Nach erfolgreicher Attacke durchsucht er die
lokalen Festplatten und versendet sich umgehend an alle gefundenen Adressen.
Beim Versenden sucht er auf dem System nach Verzeichnissen, die den Textstring
„SHAR“ enthalten und kopiert sich in die jeweiligen Ordner. Bagle ist in der
Lage verschiedene Prozesse wie Antiviren- und Firewall-Programme zu beenden und
bestimmte Einträge in der Windows-Registry zu löschen.
Die vom Wurm
versendeten E-Mails nennen als Absender „%spoofed%“ und als Betreff „Delivery by
mail“, „Delivery service mail“, „is delivered mail“, „registration is acepted“
oder „you are made activate“. Der E-Mail-Text lautet: „Before use read the help“
oder „thanks for use of our“. Der Anhang kann unterschiedliche Dateinamen
besitzen. Die Dateierweiterung aus .com, .cpl, .exe oder .scr wird zufällig
ausgewählt.