https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Bagle_%28Computerwurm%29Bagle (Computerwurm) - Versionsgeschichte2026-05-31T23:07:19ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Bagle_(Computerwurm)&diff=994229&oldid=previmported>Aka: /* Vervielfältigung */ typografische Anführungszeichen2023-03-30T20:53:45Z<p><span class="autocomment">Vervielfältigung: </span> typografische Anführungszeichen</p>
<p><b>Neue Seite</b></p><div>{{Infobox Computerwurm<br />
| Name = Bagle<br />
| Aliase = Beagle<br />
| Veröffentlichung = [[2004]]<br />
| Herkunft = <br />
| Typ = E-Mailwurm<br />
| Subtyp = Retrowurm<br />
| Autoren = <br />
| Dateigröße = <br />
| Speicherresident = ja<br />
| Verbreitung = [[E-Mail]]<br />
| System = [[Windows 9x]], [[Windows NT|NT]], [[Windows 2000|2000]], [[Windows XP|XP]]<br />
| Programmiersprache = <br />
| Info = <br />
}}<br />
'''Bagle''' ist ein am 18. Januar 2004 erstmals entdeckter Massen-E-Mail-[[Computerwurm]]. In den folgenden Jahren kam es zu mehreren Versionen und Nachfolgern von Bagle.<br />
<br />
Varianten von 2006 sind äußerst zerstörerisch. Zahlreiche Varianten mit verschiedensten Schadfunktionen sind bekannt. Charakteristisch für die Bagle-Familie ist die relativ unauffällige Kompromittierung und Ausnutzung des Zielsystems bei gleichzeitig sehr effizienter Verbreitung nach dem [[Schneeballsystem]].<br />
<br />
== Funktion ==<br />
=== Vervielfältigung ===<br />
Bagle infiziert alle [[Windows]]-Betriebssysteme über manuelles Ausführen eines [[E-Mail]]-Dateianhanges, in der Regel eine .exe-Datei mit zufällig generiertem Dateinamen.<br />
<br />
Der Wurm deaktiviert zunächst vorhandene Sicherheitssysteme wie [[Virenscanner]] und [[Personal Firewall]], kopiert dann „bbeagle.exe“ ins Systemverzeichnis und öffnet den [[Port (Protokoll)|Port]] TCP/6777.<br />
<br />
Um sich weiterzuverbreiten, sammelt Bagle E-Mail Adressen u.&nbsp;a. aus den folgenden Dateiformaten auf dem Opfer-PC und verschickt sich selbst an die gefundenen Adressaten: <code>.wab</code>, <code>.txt</code>, <code>.htm</code> oder <code>.html</code>. Der Wurm verwendet dazu seine eigene [[SMTP]]-Routine über Port 25.<br />
<br />
Neben dem Ressourcenverbrauch auf dem PC und im Netzwerk besteht die Gefahr der Rufschädigung, da Bagle gefälschte E-Mails oft an die eigenen privaten oder geschäftlichen Kontakte im Adressbuch verschickt.<br />
<br />
Dateinamen und die verwendeten Ports sind aufgrund der Vielzahl an Varianten sehr unterschiedlich. Einige Varianten verwenden zudem [[peer-to-peer]] und/oder legen [[Backdoor]]s an. Weiterhin wird gegebenenfalls zusätzlicher Code von verschiedenen Websites heruntergeladen.<br />
<br />
=== Retro-Techniken und Payload ===<br />
Varianten von 2006 löschen zudem Schlüssel in der [[Windows-Registrierungsdatenbank]], die für das automatische Starten bestimmter Antiviren- oder Sicherheitssoftware nötig sind. Die Varianten von 2006 sollen alle Möglichkeiten ausschließen, den Wurm zu entfernen. Der Wurm geht dabei wie folgt vor:<br />
<br />
# Die Möglichkeit, im abgesicherten Modus hochzufahren, um den Virus zu entfernen, wird per Registrylöschung abgeschaltet (Bluescreen).<br />
# Alle dem Wurm bekannten Virenscanner werden blockiert und ausgeschaltet.<br />
# Die CPU-Auslastung wird ständig auf 100 % gehalten. (Arbeiten nur noch im Taskmanager möglich)<br />
# Die Internetverbindung wird entfernt, um auch von dieser Seite keine Maßnahmen gegen den Malwarebefall zuzulassen.<br />
<br />
Der Wurm tarnt sich mit folgenden Dateien: <code>hldrrr.exe</code>, <code>hidr.exe</code> oder <code>srosa.sys</code>, außerdem legt er unsichtbare Ordner an und installiert ein [[Rootkit]]. Sobald ein Ordner mit einem Rootkit-Tool gefunden und gelöscht wird, legt er neue an. Zusätzlich kopiert sich die Datei hldrrr.exe in diese verschiedenen versteckten Ordner, sobald versucht wird, diese zu löschen. Da es kaum möglich ist, mit Virenprogrammen alle hldrrr.exe-Würmer gleichzeitig zu finden, war ein Wiederherstellen des Systems mit zeitgemäßen Techniken fast ausgeschlossen.<ref name="trendmicro">Trend Micro: ''[http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FBAGLE%2EEN&VSect=T WORM_BAGLE.EN - Technical details]''. 19. Juni 2007.</ref> Virenscanner auf eigenen Bootmedien etablierten sich erst in den folgenden Jahren.<br />
<br />
== Belege ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [https://www.heise.de/security/meldung/Wurm-W32-Bagle-kursiert-91873.html Wurm W32.Bagle kursiert] – Heise Security über Bagle<br />
* [http://vil.nai.com/vil/content/v_100965.htm W32/Bagle@MM] – Informationen von McAfee<br />
* [http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.EN WORM_BAGLE.EN bei TrendMicro] – Funktionsdiagramm einer Variante von 2006<br />
<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Computerwurm]]</div>imported>Aka