Viren und Trojaner
Rückkehr alter Plagegeister

SicherheitSicherheitsmanagement

Bagle und Sober.n haben wieder Konjunktur. Offenbar ist es leichter bestehenden schadhaften Code abzuwandeln, als Malware von Grund auf neu zu programmieren.

Malware

Viren und Trojaner

Altbekannte Computer-Schädlinge zu verbreiten ist stark in Mode. Offenbar fällt es Viren- und Trojaner-Verbreitern leichter, bestehenden schadhaften Code abzuwandeln, als Malware von Grund auf neu zu programmieren so geschehen beim Massenmailer Sober.n, der seit Anfang April wieder mit dem passenden Betreff »Ich bins nochmal« in deutschen Posteingängen landet. Um Anwender dazu zu verleiten, verseuchte E-Mails und deren ZIP-Dateianhänge zu öffnen, findet sich unter Umständen auch die Formulierung »Ich habe eine neue E-Mail-Adresse« in der Betreffzeile.

Zwar richtet Sober.n keinen schlimmen Schaden an. Doch die Malware versucht wie auch die Versionen aus dem Jahr 2004, Antivirus-Software außer Kraft zu setzen. Der Wurm durchsucht Laufwerke nach E-Mail-Adressen, an die er sich unbemerkt vom Nutzer weiterverschicken kann, und fälscht Absender-Adressen. So kommt es oft vor, dass PC-Anwender Mails erhalten, die vermeintlich von vertrauenswürdigen Absendern stammen. Dies dürfte auch der Grund sein, weshalb sich der Massenmailer erneut verbreiten kann: Viele Mail-Empfänger wollen einfach ihr Mail-Verzeichnis mit angeblich neuen Adressen aktualisieren.

Ebenfalls aufgewärmt: Bagle

Auch Bagle hat wieder Konjunktur. So warnt Kaspersky vor neuen Varianten des Wurms fast wöchentlich treten neue Varianten auf. Bei der neuesten, Bagle.bn, geht Kaspersky davon aus, dass damit die so genannten Bot-Nets, also ganze virtuelle Verbünde aus infizierten Systemen, aufrechterhalten werden sollen. Bot-Nets werden von den Schädlings-Programmierern etwa für den Spam-Versand oder für DoS-Attacken (Denial of Service) genutzt.

Wie auch Sober.n versteckt sich Bagle.bn in einer ZIP-Datei, die ein EXE-File enthält. Wird diese gestartet, verändert der Wurm die Windows-Registry so, dass er bei jedem Systemstart erneut aktiv wird. Bagle beendet auch AV-Software, geht jedoch einen Schritt weiter als Sober: Er überschreibt die Windows-Host-Datei, um Nutzer davon abzuhalten, Antivirus-Webseiten zu öffnen.

Bis Erscheinen dieser Ausgabe werden alle AV-Software-Hersteller ihre DAT-Files aktualisiert haben ein Virenscanner-Update ist also dringend nötig. Am besten schützt aber die einfachste aller Methoden vor Viren- und Wurmbefall: Dateianhänge von unaufgefordert zugesandten Mails einfach nicht öffnen, sondern sofort löschen.