Hallo Foris
Habe gerade eben diese Warnmeldung vom Viruswarndienst bekommen!!!!
Derzeit attackieren neue Vertreter der Bagle-Wurmfamilie die
elektronischen Postfächer von Internetnutzern. Gleich sechs
Varianten des Schädlings sind in Umlauf, die den schädlichen
Wurm-Code jeweils in einer beigefügten ZIP-Datei verbergen.
Der Dateiname enthält immer die Bezeichnung "price".
Die Mails kommen oft ohne Betreff und enthalten nur einen sehr
kurzen Text, etwa "price" oder "new price". Der Anhang besteht
aus einer ZIP-Datei mit Namen wie "new_price.zip", "price_09.zip"
oder ähnlich. Die ZIP-Datei enthält den Wurm in einer Datei mit
der Endung ".cpl", zum Beispiel "1.cpl" oder "price.cpl". CPL-
Dateien sind eigentlich Programme, die als Steuermodule aus der
Systemsteuerung aufgerufen werden.
Der Bagle-Wurm öffnet zur Tarnung den Windows-Editor
(Notepad), legt eine Kopie von sich als "winshost.exe" im
Windows-Verzeichnis an und erstellt dort eine weitere Datei
namens "wiwshost.exe". Diese enthält die eigentlichen
Schadroutinen. Ferner wird die Datei "HOSTS" überschrieben, die
Zuordnungen von Web-Adressen zu IP-Adressen enthält.
Schließlich beendet der Schädling verschiedene Sicherheits-
programme und entfernt deren Einträge aus der Registry.
Nahezu alle Antivirus-Hersteller haben inzwischen Updates bereit
gestellt, mit denen die neuen Bagles erkannt werden. Die
gemeldeten Wurmnamen müssen dabei nicht unbedingt "Bagle"
lauten, auch andere Vertreter wie "Tooso", "Mitglieder"
und "Glieder" zählen zur Bagle-Familie.
Habe gerade eben diese Warnmeldung vom Viruswarndienst bekommen!!!!
Derzeit attackieren neue Vertreter der Bagle-Wurmfamilie die
elektronischen Postfächer von Internetnutzern. Gleich sechs
Varianten des Schädlings sind in Umlauf, die den schädlichen
Wurm-Code jeweils in einer beigefügten ZIP-Datei verbergen.
Der Dateiname enthält immer die Bezeichnung "price".
Die Mails kommen oft ohne Betreff und enthalten nur einen sehr
kurzen Text, etwa "price" oder "new price". Der Anhang besteht
aus einer ZIP-Datei mit Namen wie "new_price.zip", "price_09.zip"
oder ähnlich. Die ZIP-Datei enthält den Wurm in einer Datei mit
der Endung ".cpl", zum Beispiel "1.cpl" oder "price.cpl". CPL-
Dateien sind eigentlich Programme, die als Steuermodule aus der
Systemsteuerung aufgerufen werden.
Der Bagle-Wurm öffnet zur Tarnung den Windows-Editor
(Notepad), legt eine Kopie von sich als "winshost.exe" im
Windows-Verzeichnis an und erstellt dort eine weitere Datei
namens "wiwshost.exe". Diese enthält die eigentlichen
Schadroutinen. Ferner wird die Datei "HOSTS" überschrieben, die
Zuordnungen von Web-Adressen zu IP-Adressen enthält.
Schließlich beendet der Schädling verschiedene Sicherheits-
programme und entfernt deren Einträge aus der Registry.
Nahezu alle Antivirus-Hersteller haben inzwischen Updates bereit
gestellt, mit denen die neuen Bagles erkannt werden. Die
gemeldeten Wurmnamen müssen dabei nicht unbedingt "Bagle"
lauten, auch andere Vertreter wie "Tooso", "Mitglieder"
und "Glieder" zählen zur Bagle-Familie.
