Neue Bagle-Varianten mit Rootkit-Funktionen

Mehrere Anti-Virus-Hersteller melden das Auftauchen neuer Varianten des Bagle-Wurms. Bei F-Secure laufen sie unter dem Namen "Bagle.GE" und "Bagle.GF", McAfee nennt sie "W32/Bagle.ea" und bei Symantec heißen sie "W32.Beagle.DZ". Panda nennt die Bagle Varianten "HX", "HY" und "HZ". Die Varianten sind mit Rootkit Eigenschaften ausgerüstet. Die Verbreitung erfolgt per Mail.

Wird der Mail-Anhang ausgeführt, lädt er weitere Komponenten aus dem Internet. Daraufhin wird eine Kopie des Schädlings mit dem Dateinamen "hidr.exe" sowie ein Rootkit-Treiber mit dem Dateinamen "m_hook.sys" im Verzeichnis "Application Data\hidires" im Profil des angemeldeten Benutzers abgelegt. Der Wurm erstellt Registry-Einträge über die die Komponenten beim Start von Windows geladen werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"drvsyskit" = "Documents and Settings\%UserName%\Application Data\hidires\hidr.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook"ImagePath" = "Documents and Settings\%UserName%\Application Data\hidires\m_hook.sys"

Rootkits sind Programme, die zum Verbergen von Prozessen, wie Datei Veränderungen oder Einträge in der Windows Registry, entwickelt werden. Sie sind in der Lage nicht nur ihr Treiben auf dem befallenen Rechner zu vertuschen, sondern sogar ihre Anwesenheit.