Neuer Virus entdeckt

Beschreibung: W32.Beagle.AO@mm

zur Übersicht Kurzbeschreibungen Computer-Virus

Erläuterungen der Standardeinträge
Kurzbeschreibung des Virus Kategorie: Virus-Warnung
Name: W32.Beagle.AO@mm
Alias:

W32/Bagle.aq@MM [McAfee]
WORM_BAGLE.AC [Trend]
Win32.Bagle.AG [Computer Associates]
Art: Wurm
Größe 5.932 Bytes (ZIP-Datei)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Backdoor
Spezielle Entfernung: kein
bekannt seit: 09.08.2004
Beschreibung
Allgemeines

W32.Beagle.AO@mm (Beagle.AO) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet ein Programm, das den Wurm aus dem Internet nachlädt und anschließend startet. Damit wird der Computer infiziert. Er installiert eine Backdoor, die die Ports UDP und TCP 80 öffnet.

Bei der Ausführung des Anhangs erzeugt der Wurm folgende Datei:

* %System%\WINdirect.exe

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"win_upd.exe"="%System%\WINdirect.exe"
wird der Downloader beim Systemstart aktiviert.

Außerdem wird im infizierten System folgende Datei angelegt:

* %System%\_dll.exe

Diese Datei wird als versteckter Prozess gestartet und ist im Taskmanager nicht sichtbar. Er führt die weiteren Aktionen durch.

Zunächst werden Prozesse von Anti-Virus-Programmen und Prozesse zum Update von Anti-Virus-Programmen gestoppt. Anschließend wird der Wurm selbst als Datei

* %Windir%\~.exe

aus dem Internet geladen. Dazu kennt das Downloader-Programm eine Vielzahl von Internetseiten.

Beagle.AO legt folgende Dateien an:

* %System%\windll.exe
* %System%\windll.exeopen
* %System%\windll.exeopenopen
* %System%\re_file.exe

Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"erthgdr"="%System%\windll.exe"
wird Beagle.AO beim Systemstart aktiviert.

Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen
.adb, .asp, .cfg, .cgi,.dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml gesucht.

Beagle.AO installiert auf dem infizierten Computer eine Backdoor. Damit wird TCP- und UDP-Port 80 geöffnet.
Verbreitungsart

Der Virus verbreitet sich per E-Mail. Nachstehend die Einträge in den einzelnen E-Mail-Feldern.

Von: <Absender gefälscht>

Betreff: <kein Betreff>

Nachrichtentext: New price

Anhang:

* 08_price.zip
* new__price.zip
* new_price.zip
* newprice.zip
* price.zip
* price2.zip
* price_08.zip
* price_new.zip

Die Verbreitung über Netzwerk geschieht durch kopieren der Wurmdatei in Freigabe-Verzeichnisse, die den Namensteil share enthalten. Die Dateinamen sind:

* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Microsoft Office XP working Crack, Keygen.exe
* Porno, sex, oral, anal cool, awesome!!.exe
* Porno Screensaver.scr
* Serials.txt.exe
* KAV 5.0
* Kaspersky Antivirus 5.0
* Porno pics arhive, xxx.exe
* Windows Sourcecode update.doc.exe
* Ahead Nero 7.exe
* Windown Longhorn Beta Leak.exe
* Opera 8 New!.exe
* XXX hardcore images.exe
* WinAmp 6 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* dobe Photoshop 9 full.exe
* Matrix 3 Revolution English Subtitles.exe
* ACDSee 9.exe

Entfernung

Der Wurm kann nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet
* die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her

Vorgehensweise der Entfernung

1. Update der Viren-Signaturen des Viren-Schutzprogramms
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Entfernung des Wurms mit dem Viren-Schutzprogramm
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren

Besondere Hinweise:

Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

(Erstellt: 10.08.2004)

Gruß Donald

Autor	Mitteilung
Donald Boardkaiser Beiträge: 2682	Gesendet: 12:08 - 10.08.2004 Beschreibung: W32.Beagle.AO@mm zur Übersicht Kurzbeschreibungen Computer-Virus Erläuterungen der Standardeinträge Kurzbeschreibung des Virus Kategorie: Virus-Warnung Name: W32.Beagle.AO@mm Alias: W32/Bagle.aq@MM [McAfee] WORM_BAGLE.AC [Trend] Win32.Bagle.AG [Computer Associates] Art: Wurm Größe 5.932 Bytes (ZIP-Datei) Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing, Netzwerk Verbreitung: mittel Risiko: mittel Schadensfunktion: Backdoor Spezielle Entfernung: kein bekannt seit: 09.08.2004 Beschreibung Allgemeines W32.Beagle.AO@mm (Beagle.AO) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet ein Programm, das den Wurm aus dem Internet nachlädt und anschließend startet. Damit wird der Computer infiziert. Er installiert eine Backdoor, die die Ports UDP und TCP 80 öffnet. Bei der Ausführung des Anhangs erzeugt der Wurm folgende Datei: * %System%\WINdirect.exe Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP. Mit dem Windows-Registry-Schlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "win_upd.exe"="%System%\WINdirect.exe" wird der Downloader beim Systemstart aktiviert. Außerdem wird im infizierten System folgende Datei angelegt: * %System%\_dll.exe Diese Datei wird als versteckter Prozess gestartet und ist im Taskmanager nicht sichtbar. Er führt die weiteren Aktionen durch. Zunächst werden Prozesse von Anti-Virus-Programmen und Prozesse zum Update von Anti-Virus-Programmen gestoppt. Anschließend wird der Wurm selbst als Datei * %Windir%\~.exe aus dem Internet geladen. Dazu kennt das Downloader-Programm eine Vielzahl von Internetseiten. Beagle.AO legt folgende Dateien an: * %System%\windll.exe * %System%\windll.exeopen * %System%\windll.exeopenopen * %System%\re_file.exe Mit dem Windows-Registry-Schlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "erthgdr"="%System%\windll.exe" wird Beagle.AO beim Systemstart aktiviert. Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen .adb, .asp, .cfg, .cgi,.dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml gesucht. Beagle.AO installiert auf dem infizierten Computer eine Backdoor. Damit wird TCP- und UDP-Port 80 geöffnet. Verbreitungsart Der Virus verbreitet sich per E-Mail. Nachstehend die Einträge in den einzelnen E-Mail-Feldern. Von: <Absender gefälscht> Betreff: <kein Betreff> Nachrichtentext: New price Anhang: * 08_price.zip * new__price.zip * new_price.zip * newprice.zip * price.zip * price2.zip * price_08.zip * price_new.zip Die Verbreitung über Netzwerk geschieht durch kopieren der Wurmdatei in Freigabe-Verzeichnisse, die den Namensteil share enthalten. Die Dateinamen sind: * Microsoft Office 2003 Crack, Working!.exe * Microsoft Windows XP, WinXP Crack, working Keygen.exe * Microsoft Office XP working Crack, Keygen.exe * Porno, sex, oral, anal cool, awesome!!.exe * Porno Screensaver.scr * Serials.txt.exe * KAV 5.0 * Kaspersky Antivirus 5.0 * Porno pics arhive, xxx.exe * Windows Sourcecode update.doc.exe * Ahead Nero 7.exe * Windown Longhorn Beta Leak.exe * Opera 8 New!.exe * XXX hardcore images.exe * WinAmp 6 New!.exe * WinAmp 5 Pro Keygen Crack Update.exe * dobe Photoshop 9 full.exe * Matrix 3 Revolution English Subtitles.exe * ACDSee 9.exe Entfernung Der Wurm kann nicht im laufenden System entfernt werden: * der laufende Prozess blockiert die Datei * Windows schützt das Verzeichnis, in dem sich das Programm befindet * die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her Vorgehensweise der Entfernung 1. Update der Viren-Signaturen des Viren-Schutzprogramms 2. Systemwiederherstellung von Windows Me/XP deaktivieren 3. Start des Computers in den abgesicherten Modus 4. Entfernung des Wurms mit dem Viren-Schutzprogramm 5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt: * infizierte Dateien löschen * Einträge aus der Windows-Registrierung entfernen 6. normaler Systemstart 7. Systemwiederherstellung (Me/XP) aktivieren Besondere Hinweise: Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden. (Erstellt: 10.08.2004) Gruß Donald
Deichkind Board-Champion Beiträge: 5022	Gesendet: 15:10 - 10.08.2004 Hi Donald, Danke für den Tipp: ziemlich heimtückischer Geselle. Kommt auch als W32/Bagle-A vor. Ist aber (bin mir jetzt nicht sicher) auch schon was älter Gruß vom Deichkind
housemeister_1 Power-User Beiträge: 255	Gesendet: 21:02 - 10.08.2004 hi, und desalb hier noc einmal der aktuelle stinger link: http://vil.nai.com/vil/stinger/ gruß stefan