Bagle (Virus)
Bagle ist ein am 18.01.2004 erstmals entdeckter Massen-E-Mail-Computerwurm. Zahlreiche Varianten mit verschiedensten Schadfunktionen sind bekannt. Charakteristisch für die Bagle-Familie ist die relativ unauffällige Kompromittierung und Ausnutzung des Zielsystems bei gleichzeitig sehr effizienter Verbreitung nach dem Schneeballsystem.Infektion, Symptome und Verbreitung
Bagle infiziert alle Windows-Betriebssysteme über manuelles Ausführen eines E-Mail-Dateianhanges, in der Regel eine .exe-Datei mit zufällig generiertem Dateinamen.
Der Wurm deaktiviert zunächst vorhandene Sicherheitssysteme wie Virenscanner und Personal Firewall, kopiert dann "bbeagle.exe" ins Systemverzeichnis und öffnet den Port TCP/6777.
Um sich weiterzuverbreiten, sammelt Bagle E-Mail Adressen aus den folgenden Dateiformaten auf dem Opfer-PC und verschickt sich selbst an die gefundenen Adressaten. Es verwendet dazu seine eigene SMTP-Routine über Port 25.
* .wab
* .txt
* .htm
* .html
Neben dem Ressourcenverbrauch auf dem PC und im Netzwerk besteht die Gefahr der Rufschädigung, da Bagle gefälschte E-Mails oft an die eigenen privaten oder geschäftlichen Kontakte im Adressbuch verschickt.
Dateinamen und die verwendeten Ports sind aufgrund der Vielzahl an Varianten sehr unterschiedlich. Einige Varianten weisen zudem peer-to-peer- und/oder Trojaner-Charakteristika auf. Weiterhin wird gegeben falls zusätzlicher Code von verschiedenen Websites heruntergeladen. Die aktuellsten Varianten von 2006 löschen zudem Schlüssel in der Windows-Registrierungsdatenbank, was für eine Installation erheblichen Schaden bedeuten kann.
Quellen & Weblinks
• Wurm W32.Bagle kursiert - Heise Security über Bagle
• W32/Bagle@MM - Informationen von McAfee
• WORM_BAGLE.EN bei TrendMicro - Funktionsdiagramm einer Variante von 2006
