GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 | zum Seitenende |
|
Autor | Mitteilung |
Donald Boardkaiser Beiträge: 2682 | Gesendet: 12:08 - 10.08.2004 Beschreibung: W32.Beagle.AO@mm zur Übersicht Kurzbeschreibungen Computer-Virus Erläuterungen der Standardeinträge Kurzbeschreibung des Virus Kategorie: Virus-Warnung Name: W32.Beagle.AO@mm Alias: W32/Bagle.aq@MM [McAfee] WORM_BAGLE.AC [Trend] Win32.Bagle.AG [Computer Associates] Art: Wurm Größe 5.932 Bytes (ZIP-Datei) Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing, Netzwerk Verbreitung: mittel Risiko: mittel Schadensfunktion: Backdoor Spezielle Entfernung: kein bekannt seit: 09.08.2004 Beschreibung Allgemeines W32.Beagle.AO@mm (Beagle.AO) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet ein Programm, das den Wurm aus dem Internet nachlädt und anschließend startet. Damit wird der Computer infiziert. Er installiert eine Backdoor, die die Ports UDP und TCP 80 öffnet. Bei der Ausführung des Anhangs erzeugt der Wurm folgende Datei: * %System%\WINdirect.exe Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP. Mit dem Windows-Registry-Schlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "win_upd.exe"="%System%\WINdirect.exe" wird der Downloader beim Systemstart aktiviert. Außerdem wird im infizierten System folgende Datei angelegt: * %System%\_dll.exe Diese Datei wird als versteckter Prozess gestartet und ist im Taskmanager nicht sichtbar. Er führt die weiteren Aktionen durch. Zunächst werden Prozesse von Anti-Virus-Programmen und Prozesse zum Update von Anti-Virus-Programmen gestoppt. Anschließend wird der Wurm selbst als Datei * %Windir%\~.exe aus dem Internet geladen. Dazu kennt das Downloader-Programm eine Vielzahl von Internetseiten. Beagle.AO legt folgende Dateien an: * %System%\windll.exe * %System%\windll.exeopen * %System%\windll.exeopenopen * %System%\re_file.exe Mit dem Windows-Registry-Schlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "erthgdr"="%System%\windll.exe" wird Beagle.AO beim Systemstart aktiviert. Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen .adb, .asp, .cfg, .cgi,.dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml gesucht. Beagle.AO installiert auf dem infizierten Computer eine Backdoor. Damit wird TCP- und UDP-Port 80 geöffnet. Verbreitungsart Der Virus verbreitet sich per E-Mail. Nachstehend die Einträge in den einzelnen E-Mail-Feldern. Von: <Absender gefälscht> Betreff: <kein Betreff> Nachrichtentext: New price Anhang: * 08_price.zip * new__price.zip * new_price.zip * newprice.zip * price.zip * price2.zip * price_08.zip * price_new.zip Die Verbreitung über Netzwerk geschieht durch kopieren der Wurmdatei in Freigabe-Verzeichnisse, die den Namensteil share enthalten. Die Dateinamen sind: * Microsoft Office 2003 Crack, Working!.exe * Microsoft Windows XP, WinXP Crack, working Keygen.exe * Microsoft Office XP working Crack, Keygen.exe * Porno, sex, oral, anal cool, awesome!!.exe * Porno Screensaver.scr * Serials.txt.exe * KAV 5.0 * Kaspersky Antivirus 5.0 * Porno pics arhive, xxx.exe * Windows Sourcecode update.doc.exe * Ahead Nero 7.exe * Windown Longhorn Beta Leak.exe * Opera 8 New!.exe * XXX hardcore images.exe * WinAmp 6 New!.exe * WinAmp 5 Pro Keygen Crack Update.exe * dobe Photoshop 9 full.exe * Matrix 3 Revolution English Subtitles.exe * ACDSee 9.exe Entfernung Der Wurm kann nicht im laufenden System entfernt werden: * der laufende Prozess blockiert die Datei * Windows schützt das Verzeichnis, in dem sich das Programm befindet * die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her Vorgehensweise der Entfernung 1. Update der Viren-Signaturen des Viren-Schutzprogramms 2. Systemwiederherstellung von Windows Me/XP deaktivieren 3. Start des Computers in den abgesicherten Modus 4. Entfernung des Wurms mit dem Viren-Schutzprogramm 5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt: * infizierte Dateien löschen * Einträge aus der Windows-Registrierung entfernen 6. normaler Systemstart 7. Systemwiederherstellung (Me/XP) aktivieren Besondere Hinweise: Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden. (Erstellt: 10.08.2004) Gruß Donald |
Deichkind
Board-Champion Beiträge: 5022
|
Gesendet: 15:10 - 10.08.2004 Hi Donald, Danke für den Tipp: ziemlich heimtückischer Geselle. Kommt auch als W32/Bagle-A vor. Ist aber (bin mir jetzt nicht sicher) auch schon was älter Gruß vom Deichkind |
housemeister_1
Power-User Beiträge: 255
|
Gesendet: 21:02 - 10.08.2004 hi, und desalb hier noc einmal der aktuelle stinger link: http://vil.nai.com/vil/stinger/ gruß stefan |
Seiten mit Postings: 1 | - Neuer Virus entdeckt - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002403 | S: 1_2 |