virus-informer.de: Das BSI warnt ebenfalls vor Bagle.AV

30.10.04 21:14 Age: 6 yrs

Das BSI warnt ebenfalls vor Bagle.AV

By: admin

W32.Beagle.AV@mm (Beagle.AV) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail oder über Peer-to-Peer-Netzwerke. Außerdem wird eine Backdoor installiert, die auf Port 81 auf Befehle von außen wartet.

Name: W32.Beagle.AV@mm

Alias: Win32.Bagle.AT [F-Secure], W32/Bagle.bb@mm [Mc Afee]

Art: Wurm

Größe: variiert, ca. 20-30k

Betriebssystem: Microsoft Windows

Art der Verbreitung: Massenmailing, Peer-to-Peer

Verbreitung: mittel

Risiko: mittel

Schadensfunktion: Massenmailing, Backdoor

Spezielle Entfernung: keine

bekannt seit: 29.10.2004

Verbreitungsart

Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern)

Betreffzeile und Inhalt der E-Mail sind zufällig gewählt, enthalten aber jeweils nur einen kurzen Text in englischer Sprache.

Momentan bekannt sind die Betreffzeilen:

* Re:

* Re: Hello

* Re: Thank you

* Re: Thanks:

* Re: Hi

Die verseuchten E-Mails enthalten Anhänge mit einem der folgenden Namen:

* Price

* price

* Joke

und einer der folgenden Dateierweiterung:

* exe

* scr

* com

* cpl

* zip

Schadfunktion

Auf einem infizierten System wird die folgende Datei abgelegt und ausgeführt:

* %System%\wingo.exe

Hinweis:

%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"wingo"="%System%\wingo.exe"

wird der Wurm beim Systemstart aktiviert.

Es wird eine Backdoor geöffnet, über die von außen Zugriff auf den Rechner erlangt werden kann.

Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei

* Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Update der Viren-Signaturen des Viren-Schutzprogramms

2. Systemwiederherstellung von Windows Me/XP deaktivieren

3. Start des Computers in den abgesicherten Modus

4. Entfernung des Wurms mit dem Viren-Schutzprogramm

5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:

* infizierte Dateien löschen

* Einträge aus der Windows-Registrierung entfernen

6. normaler Systemstart

7. Systemwiederherstellung (Me/XP) aktivieren

Besondere Hinweise:

Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

Quelle: BSI Website

<- Back to: virus-informer.de


	30.10.04 21:14 Age: 6 yrs Das BSI warnt ebenfalls vor Bagle.AV By: admin W32.Beagle.AV@mm (Beagle.AV) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail oder über Peer-to-Peer-Netzwerke. Außerdem wird eine Backdoor installiert, die auf Port 81 auf Befehle von außen wartet. Name: W32.Beagle.AV@mm Alias: Win32.Bagle.AT [F-Secure], W32/Bagle.bb@mm [Mc Afee] Art: Wurm Größe: variiert, ca. 20-30k Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing, Peer-to-Peer Verbreitung: mittel Risiko: mittel Schadensfunktion: Massenmailing, Backdoor Spezielle Entfernung: keine bekannt seit: 29.10.2004 Verbreitungsart Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern) Betreffzeile und Inhalt der E-Mail sind zufällig gewählt, enthalten aber jeweils nur einen kurzen Text in englischer Sprache. Momentan bekannt sind die Betreffzeilen: * Re: * Re: Hello * Re: Thank you * Re: Thanks: * Re: Hi Die verseuchten E-Mails enthalten Anhänge mit einem der folgenden Namen: * Price * price * Joke und einer der folgenden Dateierweiterung: * exe * scr * com * cpl * zip Schadfunktion Auf einem infizierten System wird die folgende Datei abgelegt und ausgeführt: * %System%\wingo.exe Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP. Mit dem Windows-Registry-Schlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "wingo"="%System%\wingo.exe" wird der Wurm beim Systemstart aktiviert. Es wird eine Backdoor geöffnet, über die von außen Zugriff auf den Rechner erlangt werden kann. Entfernung Der Wurm kann möglicherweise nicht im laufenden System entfernt werden: * der laufende Prozess blockiert die Datei * Windows schützt das Verzeichnis, in dem sich das Programm befindet Vorgehensweise der Entfernung 1. Update der Viren-Signaturen des Viren-Schutzprogramms 2. Systemwiederherstellung von Windows Me/XP deaktivieren 3. Start des Computers in den abgesicherten Modus 4. Entfernung des Wurms mit dem Viren-Schutzprogramm 5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt: * infizierte Dateien löschen * Einträge aus der Windows-Registrierung entfernen 6. normaler Systemstart 7. Systemwiederherstellung (Me/XP) aktivieren Besondere Hinweise: Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden. Quelle: BSI Website <- Back to: virus-informer.de
home Impressum