virus-informer.de: Achtung! Alarmstufe: Orange - Neuer Wurm: Bagle.AM verbreitet sich massiv!

10.08.04 23:13 Age: 6 yrs

Achtung! Alarmstufe: Orange - Neuer Wurm: Bagle.AM verbreitet sich massiv!

By: admin

Diese neue Variante des Bagel-Virus, Bagle.AM kombiniert verschiedene Infektionsmethoden miteinander.

Die Zahl der Infektionen wird voraussichtlich in den nächsten Stunden dramatisch ansteigen.

Wir konnten diesen Wurm bereits erfolgreich auf unseren Server filtern.

Nachfolgend die Original Viren Warnung unseres Partners Panda Software...

Name: Bagle.AM

Art: Wurm

Art der Verbreitung: via E-Mail

Verbreitung: hoch

Risiko: hoch

Alarmstufe: Orange: Bagle.AM

Ein neuer Virus bedroht das Internet

- Bagle.AM -

* Die erste Version von Bagle erschien vor 7 Monaten

* Bagle.AM verbreitet sich via e-Mail und versendet ein ZIP Archiv mit

einer integrierten .exe und .html Datei mit dem selben Namen

* Er versucht eine angebliche JPG Datei von verschiedenen Internetadressen

herunter zu laden. Diese Datei ist jedoch eine weitere .exe Datei welche den

restlichen Code beinhaltet. Bei seiner Ausführung versendet er sich selbst

via e-Mail weiter.

In den letzten Stunden machte ein neuer Virus seine Runden: Bagle.AM, auch

bekannt als Bagle.AQ und Bagle.AC. Aufgrund der Vielzahl von Vorfällen hat

Panda Software Orange Alert ausgerufen.

Panda Softwares Kunden mit der neuen TruPrevent Technologie waren vorbeugend

geschützt, obwohl der Virus noch nicht bekannt war. Weitere Informationen

über diese neuen Techniken erhalten Sie unter:

www.pandasoftware.com/truprevent).

Luis Corrons, PandaLabs Director, sagte: "Bagle.AM ist ein Familienmitglied

des Bagle Clans, der vor 7 Monaten zum ersten Mal erschien. Er nutzt Social

Engineering Techniken benso, wie er versucht die User mit einer e-Mail über

Preise und Passwörter zu verwirren. Er kombiniert verschiedene

Infektionsmethoden, so das die Zahl der Infektionen in den nächsten Stunden

ansteigen wird."

Bagle.AM verbreitet sich über e-Mails mit einem 6 Kbyte ZIP Archiv, das eine

.exe und eine .html Datei mit gleichem Namen enthält. Wenn ein Anwender die

.html Datei startet wird die .exe Datei ausgeführt und erstellt dabei die

folgenden Registry Einträge:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe =

%systemdir%\WINdirect.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe =

%systemdir%\WINdirect.exe

Zusätzlich erstellt Bagle.AM eine 11,776 Byte große DLL Library in

%systemdir%\_dll.exe und führt diese aus. Das führt zum Stillstand aller

Prozesse mit den folgenden Namen:

FIREWALL.EXE

ATUPDATER.EXE

winxp.exe

sys_xp.exe

sysxp.exe

LUALL.EXE

DRWEBUPW.EXE

AUTODOWN.EXE

NUPGRADE.EXE

OUTPOST.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ESCANH95.EXE

AVXQUAR.EXE

ESCANHNT.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

AVWUPD32.EXE

AVPUPD.EXE

CFIAUDIT.EXE

UPDATE.EXE

NUPGRADE.EXE

MCUPDATE.EXE

Außerdem versucht er eine angebliche JPG Datei von verschiedenen URLs

herunter zu laden, die sich als weitere .exe Datei mit dem restlichen Code

von Bagle.AM entpuppt. Einmal gestartet verbreitet der Code sich via e-Mail

weiter.

<- Back to: virus-informer.de


	10.08.04 23:13 Age: 6 yrs Achtung! Alarmstufe: Orange - Neuer Wurm: Bagle.AM verbreitet sich massiv! By: admin Diese neue Variante des Bagel-Virus, Bagle.AM kombiniert verschiedene Infektionsmethoden miteinander. Die Zahl der Infektionen wird voraussichtlich in den nächsten Stunden dramatisch ansteigen. Wir konnten diesen Wurm bereits erfolgreich auf unseren Server filtern. Nachfolgend die Original Viren Warnung unseres Partners Panda Software... Name: Bagle.AM Art: Wurm Art der Verbreitung: via E-Mail Verbreitung: hoch Risiko: hoch Alarmstufe: Orange: Bagle.AM Ein neuer Virus bedroht das Internet - Bagle.AM - * Die erste Version von Bagle erschien vor 7 Monaten * Bagle.AM verbreitet sich via e-Mail und versendet ein ZIP Archiv mit einer integrierten .exe und .html Datei mit dem selben Namen * Er versucht eine angebliche JPG Datei von verschiedenen Internetadressen herunter zu laden. Diese Datei ist jedoch eine weitere .exe Datei welche den restlichen Code beinhaltet. Bei seiner Ausführung versendet er sich selbst via e-Mail weiter. In den letzten Stunden machte ein neuer Virus seine Runden: Bagle.AM, auch bekannt als Bagle.AQ und Bagle.AC. Aufgrund der Vielzahl von Vorfällen hat Panda Software Orange Alert ausgerufen. Panda Softwares Kunden mit der neuen TruPrevent Technologie waren vorbeugend geschützt, obwohl der Virus noch nicht bekannt war. Weitere Informationen über diese neuen Techniken erhalten Sie unter: www.pandasoftware.com/truprevent). Luis Corrons, PandaLabs Director, sagte: "Bagle.AM ist ein Familienmitglied des Bagle Clans, der vor 7 Monaten zum ersten Mal erschien. Er nutzt Social Engineering Techniken benso, wie er versucht die User mit einer e-Mail über Preise und Passwörter zu verwirren. Er kombiniert verschiedene Infektionsmethoden, so das die Zahl der Infektionen in den nächsten Stunden ansteigen wird." Bagle.AM verbreitet sich über e-Mails mit einem 6 Kbyte ZIP Archiv, das eine .exe und eine .html Datei mit gleichem Namen enthält. Wenn ein Anwender die .html Datei startet wird die .exe Datei ausgeführt und erstellt dabei die folgenden Registry Einträge: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = %systemdir%\WINdirect.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = %systemdir%\WINdirect.exe Zusätzlich erstellt Bagle.AM eine 11,776 Byte große DLL Library in %systemdir%\_dll.exe und führt diese aus. Das führt zum Stillstand aller Prozesse mit den folgenden Namen: FIREWALL.EXE ATUPDATER.EXE winxp.exe sys_xp.exe sysxp.exe LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE NUPGRADE.EXE MCUPDATE.EXE Außerdem versucht er eine angebliche JPG Datei von verschiedenen URLs herunter zu laden, die sich als weitere .exe Datei mit dem restlichen Code von Bagle.AM entpuppt. Einmal gestartet verbreitet der Code sich via e-Mail weiter. <- Back to: virus-informer.de
home Impressum