Laut dem Sicherheitsanbieter Sophos ist dem derzeit kursierenden Bagle-J Wurm (W32/Bagle-J) eine beleidigende Nachricht beigegeben, die den Virenschreiber des ebenfalls kursierenden Virus Netsky beleidigen soll. "Hey, NetSky, (Vulgärwort entfernt), don't ruine our business, wanna start a war?', hat Sophos im Bagle-J Code gefunden.
Beide Viren, die wie so oft erst durch ein Klicken auf die anhängende Datei aktiviert werden, sind seit Tagen im Umlauf. Unsere Schwesterpublikation Tecchannel hat sich mit beiden Viren auf ihrer Sicherheitsseite befasst.
Zu Netsky schrieb sie: "Wie sein erst vor wenigen Tagen erschienener Vorgänger Netsky.b kommt auch Netsky.C per E-Mail als angehängte Datei. In der Betreffzeile der infizierten E-Mail stehen Formulierungen wie "Question,""Fwd: lol," oder auch "Re: hey" zu lesen. Beim öffnen des Attachments lege der Wurm die Datei "winlogon.exe" im Systemverzeichnis ("System32") von Windows ab. Kopien davon speichert der Wurm zudem in verschiedenen freigegebenen Verzeichn. Nach Erkenntn von TrendMicro verwende Netsky.C dabei Dateinamen wie "Adobe Photoshop 9 full.exe", "Microsoft Office 2003 Crack.exe" oder "Win Longhorn Beta.exe". Um sich zu verbreiten, verfügt auch Netsky.C über eine eigene SMTP-Engine. Gefährdet sind Computer mit den Betriebsystemen Windows. Netsky.c versucht diverse Registrierungseinträge zu löschen, darunter auch diejenigen von Antivirensoftware. Laut Sophos kann es vorkommen, dass der Rechner sporadisch einen Piepton von sich gibt, wenn der Rechner am 26. Februar zwischen 6 und 9 Uhr gestartet wird.
Zum Bagle J-Wurm schrieb der Tecchannel: "Trend Micro warnt vor dem Wurm Bagle.a. Der Schädling verbreitete sich unter Windows via E-Mail nach Analyse des Antivirenspezialisten zunächst in den USA und danach auch in Europa. Die Adressen zum Versand mit eigener SMTP-Engine sucht Bagle in diversen Dateitypen (WAB, TXT, HTM, HTML). Der Wurm prüft nach Erkenntn von Trend Micro das aktuelle Systemdatum und beendet sein Treiben, wenn der 28. Januar 2004 erreicht oder überschritten ist. Bagle bringt unter dem Betreff: "Hi" und einem zufällig generierten Nachrichtentext eine ebenfalls mit zufälligem Namen versehene EXE-Datei mit Nach der Ausführung wird die Datei Beagle.exe mit dem Dateisymbol des Windows-Taschenrechners (calc.exe) in das Systemverzeichnis geschrieben. Der Wurm sucht zudem über Port 6667 auf bestimmten Webseiten nach Updates." (wl)