 |
||
 |
23.07.04 00:24 Age: 6 yrs
Das BSI warnt vor Bagle.AF!!!Eine weitere Inkarnation des Bagle-Wurms macht derzeit per E-Mail die Runde: Bagle.AF. Hersteller von Antivirensoftware haben aufgrund der steigenden Zahl von Infektionen bereits Warnungen herausgegeben.
Das BSI warnt ebenfalls vor dieser Variante des Wurms.
Nachfolgend die Original-Nachricht:
Name: W32.Beagle.AB@mm Alias: W32/Bagle.af@MM [McAfee] WORM_BAGLE.AF [Trend] Art: Wurm Größe: ca. 24 kB Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing Verbreitung: mittel Risiko: mittel Schadensfunktion: Backdoor Spezielle Entfernung: keine bekannt seit: 15.07.2004
Beschreibung:
W32.Beagle.AB@mm (Beagle.AB) ist ein Internetwurm, der sich per Massenmail mit seiner eigenen SMTP-Maschine verbreitet. Er installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer.
Bei der Infektion des Systems erzeugt der Wurm folgende Dateien
%System%\sysxp.exe %System%\sysxp.exeopen %System%\sysxp.exeopenopen %System%\sysxp.exeopenopenopen %System%\sysxp.exeopenopenopenopen Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.
Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "key" = "%System%\sysxp.exe"
wird Beagle.AB beim Systemstart aktiviert.
W32.Beagle.AB deaktiviert sich ab einem Systemdatum 25. Januar 2005 selbst.
In den Registrierungs-Schlüsseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sucht Beagle.AB nach verschiedenen Startprogrammen. Diese werden aus der Registrierung gelöscht:
My AV Zone Labs Client Ex 9XHtProtect Antivirus Special Firewall Service service Tiny AV ICQNet HtProtect NetDy Jammer2nd FirewallSvr MsInfo SysMonXP EasyAV PandaAVEngine Norton Antivirus AV KasperskyAVEng SkynetsRevenge ICQ Net
Außerdem beendet er laufende Prozesse von vielen bekannten Sicherheitsprodukten.
Beagle.AB installiert eine Backdoor, die den TCP-Port 1080 öffnet. Damit wirkt der infizierte Computer als offenes Mail-Relay.
Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp gesucht.
E-Mail-Verbreitung
Von:
Betreff:
Re: Msg reply Re: Hello Re: Yahoo! Re: Thank you! Re: Thanks :) RE: Text message Re: Document Incoming message Re: Incoming Message RE: Incoming Msg RE: Message Notify Notification Changes.. Update Fax Message Protected message RE: Protected message Forum notify Site changes Re: Hi Encrypted document
Nachrichtentext:
For security reasons attached file is password protected. The password is For security purposes the attached file is password protected. Password -- Note: Use password Attached file is protected with the password for security reasons. Password is In order to read the attach you have to use the following password: Archive password: Password Password: Read the attach. Your file is attached. More info is in attach See attach. Please, have a look at the attached file. Your document is attached. Please, read the document. Attach tells everything. Attached file tells everything. Check attached file for details. Check attached file. Pay attention at the attach. See the attached file for details. Message is in attach Here is the file.
Anhang:
Information Details text_document Updates Readme Document Info MoreInfo Message
Der Anhang hat eine exe, scr, com, cpl oder zip Erweiterung.
|
|
| homeImpressum | ||