Eine neue Bagle-Variante wird seit heute Morgen massiv als Spam versendet, warnt die Firma F-Secure.

Bagle.BB verbreitet sich schnell. Er ist kein typischer E-Mail-Wurm, kommt aber angehängt an eine E-Mail als 'doc_01.exe'. Es handelt sich um eine Downloader-Komponente, die bei Ausführung die Dateien winshost.exe und wiwshost.exe ablegt. Bagle.BB deaktiviert damit zahlreiche Virenschutz- und Sicherheits-Tools. Die Malware überschreibt die HOSTS-Datei mit folgenden Einträgen, um den Zugang zu Virenschutz-Sites zu unterbinden:

127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com

Bagle.BB versucht dann, eine ausführbare Datei namens "zo2.jpg" von mehreren verschiedenen Download-Sites herunterzuladen. Wie üblich enthalten diese Download-Sites derzeit keine solche Datei, doch zu einem späteren Zeitpunkt werden sie verschiedene Spam-Proxies oder Schleusenprogramme beherbergen. Die Malware manipuliert auch verschiedene Registrierungsschlüssel, die in Zusammenhang mit der Windows-BITS-Technologie stehen. Dabei handelt es sich um die "Background Intelligent Transfer Services", die vom Windows Update Service genutzt werden.