virus-informer.de: Achtung Wurm lädt Schadprogramme aus dem Internet

14.09.04 23:17 Age: 6 yrs

Achtung Wurm lädt Schadprogramme aus dem Internet

By: admin

Der Wurm lädt Schadprogramme aus dem Internet, er versucht weitere Dateien aus dem Internet nachzuladen. Alle Quellen, von denen Programme geladen werden sollen, sind zur Zeit nicht erreichbar, so dass die weiteren Schadfunktionen noch nicht abgeschätzt werden können.

Nachfolgend die Original-Nachricht des BSI:

Name: W32.Beagle.AQ@mm

Alias: W32/Bagle.dll.dr [McAfee]

WORM_BAGLE.AI [Trend]

Win32.Bagle.AK [F-Secure]

Art: Wurm, Trojanisches Pferd

Größe variiert

Betriebssystem: Microsoft Windows

Art der Verbreitung: Massenmailing

Verbreitung: mittel

Risiko: mittel

Schadensfunktion: Massenmailing, Backdoor

Spezielle Entfernung: keine

bekannt seit: 31.08.2004

Beschreibung:

Allgemeines

W32.Beagle.AQ@mm (Beagle.AQ) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet als Anhang eine zip-Datei, die eine html-Datei und eine exe-Datei enthält. Durch das Öffnen der html-Datei mit einem Internet Explorer wird die exe-Datei ausgeführt. Diese lädt möglicherweise weitere Schadprogramme aus dem Internet. Außerdem wird eine Backdoor installiert, die die Ports UDP und TCP 80 öffnet.

Verbreitungsart

Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern)

Eine mit dem Wurm verseuchte E-Mail kann an den folgenden Merkmalen erkannt werden:

Von:

Betreff: foto

Nachrichtentext: foto

Anhang: foto.zip oder foto1.zip

Die zip-Datei enthält eine Datei im html-Format (foto.html) und ein Verzeichnis, in dem sich eine exe-Datei (calc.exe oder foto1.exe) befindet. Das Öffnen der html-Seite mit einem Internet-Explorer führt im Hintergrund die exe-Datei aus, während eine leere Seite angezeigt wird. Andere gängige Browser zeigen nur die leere Seite an, wobei hier die Datei nicht ausgeführt wird. Dies rührt daher, dass die anderen gängigen Browser nicht ohne weiteres die hier vorgenommene Einbindung der Datei unterstützen (für Experten: die Datei wird als ActiveX-Control eingebunden).

Allerdings wird das Schadprogramm auch auf dem Rechner installiert, wenn die exe-Datei direkt ausgeführt wird.

Schadfunktion

Auf einem infizierten System wird eine der folgenden Dateien abgelegt und ausgeführt:

%System%\doriot.exe (Trojanisches Pferd, welches von Symantec/Norton als Download.Ject.C erkannt wird)

Hinweis:

%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit den Windows-Registry-Schlüsseln:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"wersds"="%System%\doriot.exe"

wird der Downloader beim Systemstart aktiviert, allerdings ist er im Taskmanager nicht sichtbar.

Es wird versucht, weitere Dateien aus dem Internet nachzuladen. Alle Quellen, von denen Programme geladen werden sollen, sind zur Zeit nicht erreichbar, so dass die weiteren Schadfunktionen noch nicht abgeschätzt werden können.

Entfernung

Der Wurm kann nicht im laufenden System entfernt werden:

der laufende Prozess blockiert die Datei

Windows schützt das Verzeichnis, in dem sich das Programm befindet

die Systemwiederherstellung von Windows Me/XP stellt die Datei möglicherweise nach dem Löschen wieder her

Vorgehensweise der Entfernung

Update der Viren-Signaturen des Viren-Schutzprogramms

Systemwiederherstellung von Windows Me/XP deaktivieren

Start des Computers in den abgesicherten Modus

Entfernung des Wurms mit dem Viren-Schutzprogramm

Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:

infizierte Dateien löschen

Einträge aus der Windows-Registrierung entfernen

normaler Systemstart

Systemwiederherstellung (Me/XP) aktivieren

Besondere Hinweise:

Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

<- Back to: virus-informer.de


	14.09.04 23:17 Age: 6 yrs Achtung Wurm lädt Schadprogramme aus dem Internet By: admin Der Wurm lädt Schadprogramme aus dem Internet, er versucht weitere Dateien aus dem Internet nachzuladen. Alle Quellen, von denen Programme geladen werden sollen, sind zur Zeit nicht erreichbar, so dass die weiteren Schadfunktionen noch nicht abgeschätzt werden können. Nachfolgend die Original-Nachricht des BSI: Name: W32.Beagle.AQ@mm Alias: W32/Bagle.dll.dr [McAfee] WORM_BAGLE.AI [Trend] Win32.Bagle.AK [F-Secure] Art: Wurm, Trojanisches Pferd Größe variiert Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing Verbreitung: mittel Risiko: mittel Schadensfunktion: Massenmailing, Backdoor Spezielle Entfernung: keine bekannt seit: 31.08.2004 Beschreibung: Allgemeines W32.Beagle.AQ@mm (Beagle.AQ) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet als Anhang eine zip-Datei, die eine html-Datei und eine exe-Datei enthält. Durch das Öffnen der html-Datei mit einem Internet Explorer wird die exe-Datei ausgeführt. Diese lädt möglicherweise weitere Schadprogramme aus dem Internet. Außerdem wird eine Backdoor installiert, die die Ports UDP und TCP 80 öffnet. Verbreitungsart Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern) Eine mit dem Wurm verseuchte E-Mail kann an den folgenden Merkmalen erkannt werden: Von: Betreff: foto Nachrichtentext: foto Anhang: foto.zip oder foto1.zip Die zip-Datei enthält eine Datei im html-Format (foto.html) und ein Verzeichnis, in dem sich eine exe-Datei (calc.exe oder foto1.exe) befindet. Das Öffnen der html-Seite mit einem Internet-Explorer führt im Hintergrund die exe-Datei aus, während eine leere Seite angezeigt wird. Andere gängige Browser zeigen nur die leere Seite an, wobei hier die Datei nicht ausgeführt wird. Dies rührt daher, dass die anderen gängigen Browser nicht ohne weiteres die hier vorgenommene Einbindung der Datei unterstützen (für Experten: die Datei wird als ActiveX-Control eingebunden). Allerdings wird das Schadprogramm auch auf dem Rechner installiert, wenn die exe-Datei direkt ausgeführt wird. Schadfunktion Auf einem infizierten System wird eine der folgenden Dateien abgelegt und ausgeführt: %System%\doriot.exe (Trojanisches Pferd, welches von Symantec/Norton als Download.Ject.C erkannt wird) Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP. Mit den Windows-Registry-Schlüsseln: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "wersds"="%System%\doriot.exe" wird der Downloader beim Systemstart aktiviert, allerdings ist er im Taskmanager nicht sichtbar. Es wird versucht, weitere Dateien aus dem Internet nachzuladen. Alle Quellen, von denen Programme geladen werden sollen, sind zur Zeit nicht erreichbar, so dass die weiteren Schadfunktionen noch nicht abgeschätzt werden können. Entfernung Der Wurm kann nicht im laufenden System entfernt werden: der laufende Prozess blockiert die Datei Windows schützt das Verzeichnis, in dem sich das Programm befindet die Systemwiederherstellung von Windows Me/XP stellt die Datei möglicherweise nach dem Löschen wieder her Vorgehensweise der Entfernung Update der Viren-Signaturen des Viren-Schutzprogramms Systemwiederherstellung von Windows Me/XP deaktivieren Start des Computers in den abgesicherten Modus Entfernung des Wurms mit dem Viren-Schutzprogramm Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt: infizierte Dateien löschen Einträge aus der Windows-Registrierung entfernen normaler Systemstart Systemwiederherstellung (Me/XP) aktivieren Besondere Hinweise: Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden. <- Back to: virus-informer.de
home Impressum