Neue Varianten des Bagle-Wurm breiten sich aus

Der Internetwurm Bagle kursiert bereits in den Varianten F bis J im Internet. Die neue Malware führt als Anhang ein Passwort geschütztes ZIP-Archiv mit. Das Passwort für die Entschlüsselung führt Bagle im Text der Email mit.

Solche E-Mail-Anhänge können von Viren-Schutzprogrammen, die auf den E-Mail-Gateways der Provider oder auf den E-Mail-Servern in Unternehmen installiert sind, nicht mehr durchsucht werden. Nur noch das letzte Glied in der Viren-Schutzkette, nämlich das Viren-Schutzprogramm auf dem Arbeitsplatz-Computer des Nutzers, hat die Möglichkeit, den Wurm noch zu erkennen. Dies geschieht aber erst dann, wenn der Benutzer die ZIP-Datei mit Hilfe des Kennwortes entpackt.

Die Bagle-Würmer nutzen eine Vielzahl von Tricks, um ihre bösen Absichten zu verschleiern: Sie kommen im E-Mail-Posteingang mit verschiedensten Betreffzeilen an, wie «Price list», «My photos» und wechselnde Frauennamen. Generell gilt: Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern sollte man prüfen, ob der Text der Nachricht auch zum Absender passt - englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc. - und ob die Anlage (Attachment) auch erwartet wurde. Weiterhin empfiehlt Bundesamt für Sicherheit in der Informationstechnik (BSI) alle E-Mails unabhängig vom vermeintlichen Absender, die mit Kennwort verschlüsselte ZIP-Dateien enthalten und deren Kennwort in der Nachricht angegeben ist, sofort zu löschen.

Die meisten Antiviren-Hersteller haben ihre Software für das Erkennen und Löschen der bekannten Varianten des Wurms aktualisiert. Außerdem bieten H+BEDV und NAI/McAfee kostnelose Tools zum Entfernen von Bagle. Da neue Würmer derzeit praktisch täglich auftauschen, empfeihlt es sich, die Antiviren-Software auf dem heimischen PC auch täglich aktualisieren.