Die 'J'-Version des Bagle/Beagle-Wurms verbreitet sich derzeit per E-Mail. Der Wurm fälscht Absenderadressen und formatiert die Nachricht so, daß sie zum Absender paßt. Im Anhang befindet sich eine verschlüsselte ZIP-Datei, deren Paßwort in der Nachricht enthalten ist. Weitere Verbreitungswege sind P2P-Netzwerke, wie Kazaa und iMesh.

Betroffene Systeme

• Windows 95, 98, Me
• Windows NT, 2000
• Windows XP
• Windows Server 2003

Einfallstor

• Verschlüsselte ZIP-Datei als Anhang einer E-Mail-Nachricht
• P2P-Netzwerke

Auswirkung

• Massives Versenden infizierter Nachrichten an Adressen, die auf dem infizierten System gefunden werden.
• Verbreitung über P2P-Netzwerke, in dem eine Kopie des Wurmes in die jeweiligen share-Verzeichisse unter einem gefälschten Dateinamen abgelegt wird.
• Öffnen einer Hintertür auf Port 2745. Diese kann von einem Angreifer dazu ausgenutzt werden, beliebige Dateien in das %Windir%-Verzeichnis zu kopieren, die dort unter dem Namen %Windir%\iuplda<x> abgelegt werden, wobei <x> ein zufälliger String ist.
• Der Wurm versucht, verschiedene Antivirusprogramme zu beenden.

Klasse
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Bagle/Beagle.J ist eine Variante des Bagle/Beagle.A-Wurmes und verbreitet sich derzeit per E-Mail. Der Wurm ist dabei in einer verschlüsselten ZIP-Datei im Anhang der Nachricht enthalten und unterläuft so die gängigen Antivirusprogramme, die Nachrichten und Anhänge auf bestimmte Muster des Wurm-Codes (sog. Signaturen) hin untersuchen. Die Nachricht selbst enthält einen Text, der auf den ersten Blick gut zur gefälschten Absenderadresse paßt und das Paßwort für den Anhang bereitstellt. Öffnet der gutgläubige Benutzer den Anhang, wird das beherbergende Rechnersystem infiziert.

Charakteristika

• Verbreitung über E-Mail
  Bagle/Beagle.J fälscht Absenderaddressen so, daß sie für die Empfänger der Nachrichten auf den ersten Blick plausibel aussehen: der DNS-Domainname des Empfängers wird mit folgenden local-Parts kombiniert:
  • management@<Empfänger-Domainname>
    z.B.: management@Uni-Stuttgart.DE
  • administration@<Empfänger-Domainname>
  • staff@<Empfänger-Domainname>
  • noreply@<Empfänger-Domainname>
  • support@<Empfänger-Domainname>

Folgende Betreff-Zeilen (Subject:) verwendet der Wurm:

• E-mail account disabling warning.
• E-mail account security warning.
• Email account utilization warning.
• Important notify about your e-mail account.
• Notify about using the e-mail account.
• Notify about your e-mail account utilization.
• Warning about your e-mail account.

Die Nachrichten selbst bestehen derzeit aus den folgenden Textbausteinen:
Anrede:

• Dear user of <Empfänger-Domainname>,
  z.B.: Dear user of <Uni-Stuttgart.DE>,
• Dear user of <Empfänger-Domainname> gateway e-mail server,
• Dear user of e-mail server "<Empfänger-Domainname>",
• Hello user of <Empfänger-Domainname> e-mail server,
• Dear user of "<Empfänger-Domainname>" mailing system,
• Dear user, the management of <Empfänger-Domainname> mailing system wants to let you know that,

• Your e-mail account has been temporary disabled because of unauthorized access.
• Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
• Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
• We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
• Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
• Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

• Verbreitung über P2P-Netzwerke
  Wenn der Wurm ein Rechnersystem infiziert, kopiert er sich in Verzeichnisse, deren Namen den String "shar" enthalten. Solche Verzeichnisse werden von File-Sharing-Software wie Kazaa und iMesh verwendet. Die Kopien des Wurms tragen dabei einen der folgenden Namen:
  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • Opera 8 New!.exe
  • Porno pics arhive, xxx.exe
  • Porno Screensaver.scr
  • Porno, sex, oral, anal cool, awesome!!.exe
  • Serials.txt.exe
  • WinAmp 5 Pro Keygen Crack Update.exe
  • WinAmp 6 New!.exe
  • Windown Longhorn Beta Leak.exe
  • Windows Sourcecode update.doc.exe
  • XXX hardcore images.exe

Aliases

• W32/Bagle.j@MM
• W32.Beagle.J@mm

Gegenmaßnahmen

Die Verschlüsselung stellt sicher, daß der Wurm selbst im Attachment nicht von Antivirusprogrammen erkannt werden kann, da der Schlüssel zufällig gewählt wird. Antivirenprogramme können daher nur nach den begleitenden Nachrichten bzw. auf infizierten Systemen nach dem unverschlüsselten Wurm suchen.

• Entfernung des Wurmes:
  Einige Hersteller von Antivirensoftware bieten kostenlos Entfernungswerkzeuge an:
  • McAfee: Stinger
• Aktualisierung der Signaturdateien von Antivirussoftware:
  • McAfee:EXTRA.DAT
  • McAfee:SUPER EXTRA.DAT

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die Sie per E-Mail erhalten¹⁾ haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Credits

• Wir danken Christoph Fischer (BFK edv-consulting GmbH) für Anregungen.

Weitere Artikel zu diesem Thema:

• [MS/Windows] Bagle.Q/Beagle.Q beschreitet neue Verbreitungswege (2004-03-18)
  Die Q-Variante des Bagle/Beagle-Wurmes verbreitet sich nicht mehr, indem sie sich als Attachment selbst verschickt. Der Schädling verschickt vielmehr eine sog. "Carrier" E-Mail-Nachricht, die beim Öffnen eine Schwachstelle des Internet Explorers - sofern der IE zur Betrachtung von HTML-Nachrichten verwendet wird - ausnutzt und dann versucht, den eigentlichen Wurmcode über den TCP-Port 81 des Systems, von dem die "Carrier" Nachricht empfangen wurde, zu laden. Die ausgenutzte Schwachstelle wurde bereits im Microsoft Security Bulletin MS03-040 beschrieben, Patches sind seit Oktober 2003 verfügbar. Bagle.Q/Beagle.Q versucht auch, sich wie frühere Varianten über P2P-Netzwerke zu verbreiten.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/