Das Schadens- und Verbreitungspotenzial dieser Bagle-Variante wird von den Virenexperten als äußerst hoch eingeschätzt. TR/Dldr.Bagle.BR wurde bereits im Vorfeld durch eine generische Signatur von der AntiVir-Heuristik erkannt. TR/Dldr.Bagle.BR hat eine Größe von 36.352 Bytes. Er besitzt, wie auch seine Vorgänger, eine eigene SMTP Engine. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbständig Emails verschicken kann.
Wird der TR/Dldr.Bagle.BR ausgeführt, erstellt er im Windows Systemverzeichnis (Unter Microsoft Windows 9x unter %WinDIR%System und mit Microsoft Windows NT/2000/XP/2003 unter %WinDIR%System32) zwei unterschiedliche EXE-Dateien und legt zwei Einträge in der Windows Registry an. Eine davon, die Datei WIWSHOST.EXE, ist der eigentliche Downloader. Er ist in der Lage, die Lauffähigkeit von Antiviren- und Sicherheitssoftware zu beeinflussen. Hierzu beendet er alle aktiven Prozesse, die eine der folgenden Zeichenkette im Prozessnamen enthalten.
Außerdem modifiziert er die Windows HOSTS Datei so, dass Webseiten von solchen Softwareherstellern geblockt werden und somit nicht mehr erreichbar sind.Ebenfalls ist der Trojaner in der Lage, verschiedene System-Services zu beenden. Sollten entsprechende Einträge vorhanden sein, löscht TR/Dldr.Bagle diese aus der Windows Registry. Der Trojaner enthält eine Liste mit URL's, von denen er weitere Komponenten nachladen kann und diese im Windows Verzeichnis mit unterschiedlichem Namen speichert. Die Liste der URL's unterscheidet sich von Variante zu Variante.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.