Kaspersky Lab, international führender Experte im Bereich IT-Sicherheit, informiert über neue Modifikationen des bekannten Netzwurms “Email-Worm.Win32.Bagle”. Alle neuen Wurm-Modifikationen stellen verschiedene Verpackungs-Varianten ein und desselben Schadprogramms dar. Eine Besonderheit hierbei ist das Fehlen der Vermehrungs-Funktion. Diese Wurm-Ausführung, die zum Programm der Klasse so genannter 'intended”-Würmer zählt, schließt die selbstständige Vermehrung des Schadcodes vom infizierten Computer aus. Das massenartige Aufkommen der Bagle-Modifikationen im Postverkehr bestätigt die Information, dass die Epidemie durch Spam-Versand hervorgerufen wurde.

Die neuen Bagle-Varianten wurden via E-Mail als Anhang versandt. Der Wurm wird unter Windows ausgeführt, ist angehängt an einen Brief mit frei gewählter oder fehlender Überschrift und Text. Name, Format und Größe der angehängten Datei ist ebenso frei gewählt. Das erschwert die Identifizierung des Wurms anhand formaler Merkmale.

Die Aktivierung des Wurms erfolgt auf Initiative des Anwenders, der den Brief-Anhang öffnet und somit die infizierte Datei startet. Nach dem Start kopiert sich der Wurm in das System-Verzeichnis von Windows und registriert sich im Schlüssel für den automatischen Start des System-Registers. Dabei unterbricht das Schadprogramm jene Prozesse, die für die Sicherheit des Computers und lokaler Netzwerke Sorge tragen. Das attackierte System ist somit ungeschützt.

Gegenwärtig wurden bereits neun verschiedene Varianten des “Email-Worm.Win32.Bagle” von unseren Virus-Analytikern aufgefunden. Da sie sich nur geringfügig voneinander unterscheiden und im Prinzip lediglich unterschiedliche Verpackungs-utilities verwendet wurden, ist eine einheitliche Prozedur zur Erkennung und Neutralisierung aller neuen Wurm-Modifikationen möglich. Diese wurde bereits als “Email-Worm.Win32.Bagle.pac“ in die Datenbanken von Kaspersky® Anti-Virus aufgenommen.

Weitergehende Informationen über das Schadprogramm sind in der Virus-Enzyklopädie von Kaspersky Lab verfügbar.