01.03.2004 10:39
Neue Varianten des Bagle-Wurms im Umlauf [Update]
Nachdem vor zwei Wochen bereits eine erste Variante des Bagle-Wurms aufgetaucht ist, sind am vergangenen Wochenende gleich fünf neue Varianten entdeckt worden. Network Associates führt diese als Bagle.c bis Bagle.g in der Datenbank. Die neuen Varianten unterscheiden sich in ihrer Funktionsweise nicht von den Vorgängern, die Trägermails kommen aber jeweils mit unterschiedlichen Betreffzeilen und Attachment-Namen ins Haus. Die Größe des Dateianhangs variiert ebenfalls.
Wie schon die Sobig-Würmer enthalten die Bagle-Varianten c bis g ein Ablaufdatum: Ab dem 25. März 2004 stellen die Schädlinge ihre Verbreitung ein. Führt der Anwender das Attachment aus, infiziert der Wurm den lokalen Rechner, indem er verschiedene Dateien im Windows-Systemverzeichnis anlegt und sich in der Windows-Registry als Autostart-Eintrag verewigt. Ferner öffnet er eine Hintertür auf Port 2745 und versucht, Komponenten aus dem Internet nachzuladen. Ist der Schädling aktiv, versucht er zusätzlich, die Update-Prozesse von installierten Virenscannern abzuschießen, sodass keine aktuellen Virensignaturen heruntergeladen werden können.
Einige dieser Bagle-Varianten verbreiten sich mittlerweile recht schnell, Network Associates führt die c- und e-Varianten bereits auf der Risikostufe "mittel". Antivirus-Software sollte die neuen Varianten mittlerweile erkennen und infizierte Mails abfangen können. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antivirus-Seiten von heise Security.
Update:
Einige Bagle-Versionen bedienen sich eines neuen Tricks, um Antiviren-Software auszutricksen: Sie verschlüsseln das angehängte ZIP-Archiv, sodass beispielsweise der Kaspersky-Virenscanner den infizierten Anhang nicht mehr erkennt. Um sich zu infizieren, muss der Empfänger dann nicht nur die ZIP-Datei und die eingepackte Datei öffnen, sondern auch noch das in der Mail aufgeführte Passwort eingeben. NAI behauptet, dass ihre Signatur-Datei auch eine Kennung für die verschlüsselten ZIP-Archive enthalte.
(pab)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
