Mail-Wurm droht mit Gerichtsverfahren
Eine neue Variante des Bagle-Wurms versucht es mit einer juristischen Masche.

Wenn Sie eine Mail erhalten, die Ihnen auf Englisch mit einem Anwalt droht, könnte es sich um eine Masche des neuesten Vertreters der Wurmfamilie "Bagle" handeln. Dieser Wurm sendet Mails, deren Betreff und Inhalt die Empfänger mit einer Drohung zum Öffnen des virulenten Anhangs verleiten soll. 

Die Mails kommen mit einem Betreff wie "Pay your debts before we come to you", "Call to your lawer immidiately", "Lawsuit against you" oder "We wait your response." Der Text beginnt jeweils mit dem Satz "LAWSUIT AGAINST YOU (ATTACHMENT HAS MORE INFORMATION)". Der Anhang trägt Dateinamen wie "lawsuit.exe", "explanation.exe" oder "documents.exe".

Wird der Anhang geöffnet, legt er eine Kopie von sich im System-Verzeichnis von Windows an (das ist üblicherweise C:\Windows\System32), die den Dateinamen "win32lib.exe" trägt. Weitere Kopien werden an gleicher Stelle mit den Namen "win32lib.exeopen" und "win32lib.exeopenopen" angelegt und enthalten zusätzlichen Datenmüll.

Damit der Schädling bei jedem Start von Windows automatisch geladen wird, trägt er sich in die Registry ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run win_shell = C:\Windows\System32\win32lib.exe

Er durchsucht eine Reihe von Dateitypen nach Mail-Adressen und sammelt diese in der Datei "vcremoval.dll" im Windows-Verzeichnis. Der Bagle-Wurm versucht von diversen Web-Servern weitere Trojanische Pferde herunter zu laden. Außerdem verbreitet er sich auch über P2P-Netze wie zum Beispiel Kazaa, Bearshare oder Limewire, indem er sich mit verschiedenen, verheißungsvollen Dateinamen in die Download-Verzeichnisse kopiert.

Der Wurm enthält eine eigene Mail-Routine, mit der er Mails der oben beschriebenen Art an die gesammelten Mail-Adressen versendet. Die Verbreitung wird von Antivirus-Firmen als eher gering eingestuft.

08.03.06

Falsche Mails vom T-Online Shop Eine angebliche Auftragsbestätigung nutzt einen WMF-Exploit, um ein Trojanisches Pferd einzuschleusen. Heute werden massenhaft gefälschte Auftragsbestätigungen verschickt, die vorgeblich vom "T-Online Online Store" kommen. Tatsächlich werden sie Spam-artig über Botnets verbreitet. Die Mails enthalten einen Link, über den ein Trojanisches Pferd eingeschmuggelt werden soll. Die Mails kommen mit einem Betreff wie "Ihr Auftrag #36760 im Wert von € 729 ist angenommen". Im Text heißt es dann: Vielen Dank fur das Einkaufen bei uns. Ihr Auftrag #36760 Canon EOS 350 D Profi-Digicam im Wert von Euro 729 ist angenommen. Dieser Betrag wird von Ihrer Karte abgebucht werden In Ihrem Profil konnen Sie alle Auftragsdetails checken Klick mal rein um den Auftrag zu sehen Vielen Dank T-Online Online Store. Der Link führt zu einer derzeit noch aktiven Website, die eine präparierte WMF-Datei lädt. Diese Bilddatei wird bei ungepatchtem Windows XP in der "Windows Bild- und Faxanzeige" geöffnet. Dadurch wird eine Sicherheitslücke ausgenutzt, um einen Form-Grabber einzuschleusen, der Zugangsdaten für das Online-Banking ausspionieren soll. Der Schädling landet als "ipsec6mon.dll" im System-Verzeichnis von Windows und wird auch in die Registry eingetragen. Diesen Eintrag erkennt Windows Defender Beta 2 (vormals Microsoft Anti-Spyware) als "PWS.Banker". Windows Defender erkennt allerdings schon vorher den WMF-Exploit. Wird Windows Defender erst nachträglich installiert oder aktiviert, entfernt es nur den Registry-Eintrag, lässt die Datei jedoch, wo sie ist.