GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings: 1

zum Seitenende

 Forum Index —› News —› Neuer Virus entdeckt
 


Autor Mitteilung
Donald
Boardkaiser

Beiträge: 2682


Gesendet: 12:08 - 10.08.2004

Beschreibung: [email protected]

zur Übersicht Kurzbeschreibungen Computer-Virus

Erläuterungen der Standardeinträge
Kurzbeschreibung des Virus Kategorie: Virus-Warnung
Name: [email protected]
Alias:

W32/[email protected] [McAfee]
WORM_BAGLE.AC [Trend]
Win32.Bagle.AG [Computer Associates]
Art: Wurm
Größe 5.932 Bytes (ZIP-Datei)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Backdoor
Spezielle Entfernung: kein
bekannt seit: 09.08.2004
Beschreibung
Allgemeines

[email protected] (Beagle.AO) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet ein Programm, das den Wurm aus dem Internet nachlädt und anschließend startet. Damit wird der Computer infiziert. Er installiert eine Backdoor, die die Ports UDP und TCP 80 öffnet.

Bei der Ausführung des Anhangs erzeugt der Wurm folgende Datei:

* %System%\WINdirect.exe

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"win_upd.exe"="%System%\WINdirect.exe"
wird der Downloader beim Systemstart aktiviert.

Außerdem wird im infizierten System folgende Datei angelegt:

* %System%\_dll.exe

Diese Datei wird als versteckter Prozess gestartet und ist im Taskmanager nicht sichtbar. Er führt die weiteren Aktionen durch.

Zunächst werden Prozesse von Anti-Virus-Programmen und Prozesse zum Update von Anti-Virus-Programmen gestoppt. Anschließend wird der Wurm selbst als Datei

* %Windir%\~.exe

aus dem Internet geladen. Dazu kennt das Downloader-Programm eine Vielzahl von Internetseiten.

Beagle.AO legt folgende Dateien an:

* %System%\windll.exe
* %System%\windll.exeopen
* %System%\windll.exeopenopen
* %System%\re_file.exe

Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"erthgdr"="%System%\windll.exe"
wird Beagle.AO beim Systemstart aktiviert.

Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen
.adb, .asp, .cfg, .cgi,.dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml gesucht.

Beagle.AO installiert auf dem infizierten Computer eine Backdoor. Damit wird TCP- und UDP-Port 80 geöffnet.
Verbreitungsart

Der Virus verbreitet sich per E-Mail. Nachstehend die Einträge in den einzelnen E-Mail-Feldern.

Von: <Absender gefälscht>

Betreff: <kein Betreff>

Nachrichtentext: New price

Anhang:

* 08_price.zip
* new__price.zip
* new_price.zip
* newprice.zip
* price.zip
* price2.zip
* price_08.zip
* price_new.zip

Die Verbreitung über Netzwerk geschieht durch kopieren der Wurmdatei in Freigabe-Verzeichnisse, die den Namensteil share enthalten. Die Dateinamen sind:

* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Microsoft Office XP working Crack, Keygen.exe
* Porno, sex, oral, anal cool, awesome!!.exe
* Porno Screensaver.scr
* Serials.txt.exe
* KAV 5.0
* Kaspersky Antivirus 5.0
* Porno pics arhive, xxx.exe
* Windows Sourcecode update.doc.exe
* Ahead Nero 7.exe
* Windown Longhorn Beta Leak.exe
* Opera 8 New!.exe
* XXX hardcore images.exe
* WinAmp 6 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* dobe Photoshop 9 full.exe
* Matrix 3 Revolution English Subtitles.exe
* ACDSee 9.exe

Entfernung

Der Wurm kann nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet
* die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her

Vorgehensweise der Entfernung

1. Update der Viren-Signaturen des Viren-Schutzprogramms
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Entfernung des Wurms mit dem Viren-Schutzprogramm
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren

Besondere Hinweise:

Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

(Erstellt: 10.08.2004)

Gruß Donald
Deichkind
Board-Champion

Beiträge: 5022


 

Gesendet: 15:10 - 10.08.2004

Hi Donald,

Danke für den Tipp:

ziemlich heimtückischer Geselle. Kommt auch als W32/Bagle-A vor. Ist aber (bin mir jetzt nicht sicher) auch schon was älter

Gruß vom Deichkind
housemeister_1
Power-User

Beiträge: 255


 

Gesendet: 21:02 - 10.08.2004

hi,

und desalb hier noc einmal der aktuelle stinger link:

http://vil.nai.com/vil/stinger/

gruß

stefan

Seiten mit Postings: 1

- Neuer Virus entdeckt -

zum Seitenanfang



 Forum Index —› News —› Neuer Virus entdeckt
 


naanoo logo
Version 3.1 | Load: 0.001775 | S: 1_2