Neuer Bagle-Virus greift Unternehmen an

Der Bagle Virus hat sich in einer neuen Variante inkarniert. ‘Bagle.b.w’ wie er von F-Secure genannt wird, oder W32/Bagle.CB@MM laut McAfee, verbreitet sich nicht sonderlich schnell. Das Problem dabei ist, dass er hauptsächlich Unternehmens-PCs angreift und nur sehr schwer zu entdecken ist.

Sicherheitshersteller sehen darin den nächsten Schritt in der Evolution von Viren. Diese würden jetzt vermehrt auf die Ressourcen von Unternehmen zurückgreifen. Das sei zwar in der Regel schwieriger, als unbedarfte Privatpersonen an den Haken zu bekommen, doch lohne der Aufwand wegen der besseren Infrastruktur und eventuell wegen wertvoller Informationen über Unternehmen.

Bagle.b.w nutzt daher auch nicht klassische Einfalltore wie Instant Messaging oder Chatrooms, sondern greift über Web Services und SOCKS an, ein Protokoll, über das Client-Server-Anwendendungen Dienste der Firewall nutzen können. Damit ist die Malware auf Dienste gerichtet, die hauptsächlich im Unternehmensumfeld zu finden sind. Wie ein Forscher des finnischen Antiviren-Herstellers F-Secure erklärte, könne der Virus sogar als SOCKS v4/5 Proxy, als HTTP CONNECT Proxy oder als SMTP Relay agieren. Administratoren sollten daher den Traffic auf ihrem Netz dahingehend beobachten, ob nicht Informationen über diese Anwendungen in falsche Hände gelangen.

Um nicht so schnell entdeckt zu werden, vermeidet es die Software, sich an Adressen von Sicherheitsunternehmen zu verschicken. Es sei darüber hinaus ein neuer Trend bei den Virenschreibern festzustellen. Die Hacker wollen nicht mehr die großen Viren-Epedemien, sondern beschränken sich, etwa um Spam zu versenden, auf einige tausend infizierte Rechner. Auch werden die Viren tendenziell harmloser, um nicht zu viel Aufsehen zu erregen.