Neue Variante des Virus «Worm/Bagle.AX» aufgetaucht

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender der Windows-Betriebssysteme vor der neuen Variante des Internet-Wurm/Bagle.AX. Wie seine Vorgänger verbreitet sich der Schädling mit sehr hoher Geschwindigkeit über den massenhaften E-Mail- bzw. P2P-Versand. Das Schadens- und Verbreitungspotential des Schädlings wird als sehr große Gefahr eingeschätzt.

Worm/Bagle.AX alias W32/Bagle.bj@MM hat zwei Verbreitungswege: den Versand von E-Mails mit Hilfe seiner eigenen SMTP Engine und über Peer-To-Peer (P2P) Netzwerke. Worm/Bagle.AX durchsucht die lokalen Festplatten nach Emailadressen und verschickt sich umgehend an die gefundenen E-Mail-Adressen.

Eine von Worm/Bagle.AX versandte Email hat unterschiedliches Aussehen. Als Betreff-Zeilen können etwa diese auftauchen: «Delivery by mail», «Delivery service mail», «Is delivered mail», «Registration is accepted» oder «You are made active». Der Anhang kann unterschiedliche Dateinamen besitzen. Die Dateierweiterung wird aus .COM, .CPL, .EXE oder .SCR zufällig ausgewählt.

Beim Versand über Peer-to-Peer (P2P) Netzwerke sucht der Wurm auf dem System nach Verzeichnissen, die den Textstring »SHAR« enthalten und kopiert sich in diese mit bestimmten Dateinamen.

Worm/Bagle.AX ist in der Lage verschiedene Prozesse, zum Beispiel Antiviren- oder Firewall-Programme, zu beenden. Nach Ausführen des Wurms löscht dieser in der Windows Registry bestimmte Einträge, etwa die zum automatischen Ausführen der Antivirus-Software oder des ICQ-Clients.

Es wird empfohlen, E-Mails mit entsprechender Betreffzeile, die den Wurm transportieren, nicht zu öffnen, sondern sofort zu löschen. Mehrere Antiviren-Hersteller haben bereits ihre Software entsprechend aktualisiert.