Virus-Warnung - Virus-Beschreibung
Name: W32/Bagle.b@MM
Alias: W32.Alua@mm [Symantec],
WORM_BAGLE.B [Trend],
I-Worm.Bagle.B [Kaspersky]
Art: Wurm
Groesse des Anhangs: 11.264 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing,
Installation einer Backdoor
Spezielle Entfernung: -
bekannt seit: 17. Februar 2004
Beschreibung:
W32/Bagle.b@MM ist ein Massenmailer-Wurm, der sich ueber seine eigene
SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefaelscht. Der
Wurm stoppt seine Verbreitung am 25. Februar 2004.
Eine infizierte E-Mail hat folgende Charakteristik:
Von: <Adresse gefaelscht>
Betreff: ID <zufaellige Zeichen> ... thanks
Nachricht:
Yours ID <zufaellige Zeichen>
--
Thank
Name des Anhangs: <zufaelliger Name>.exe
Groesse des Anhangs: 11.264 Bytes
Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:
.WAB
.TXT
.HTM
.HTML
W32/Bagle.b@MM sendet keine infizierte E-Mail an folgende Domains:
hotmail.com
msn.com
microsoft.com
avp.com
Der Wurm installiert eine Hintertuer, welche auf infizierten Systemen
den TCP-Port 8866 oeffnet. Er versucht weiterhin, Informationen zu
infizierten Systemen an folgende Webseiten zu berichten:
<
http://www.47df.de>
<
http://www.strato.de>
<
http://intern.games-ring.de>
Der Wurm kopiert sich im infizierten System in die Datei
%System%\AU.EXE.
Hinweis:
%System% ist eine Systemvariable, die bei verschiedenen
Windows-Versionen variiert. Beispiel: %System% enthaelt
C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows
NT/2000 und C:\Windows\System32 bei Windows XP.
Mit dem Registrierungs-Schluessel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunAu.exe
= "C:\%System%\AU.EXE"
wird W32/Bagle.b@MM beim Rechnerstart aktiviert.
Generelle Hinweise:
Pruefen Sie bei E-Mails auch von vermeintlich bekannten bzw.
vertrauenswuerdigen Absendern, ob der Text der Nachricht auch zum
Absender passt (englischer Text von deutschem Partner, zweifelhafter
Text oder fehlender Bezug zu konkreten Vorgaengen etc.) und ob die
Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand/Empfang von ausfuehrbaren Programmen
(Dateierweiterungen wie .COM, .EXE, .BAT, ...) oder anderer Dateien,
die Programmcode enthalten koennen (Dateierweiterungen wie .DO*; XL*,
PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert,
dass die Datei vom angegebenen Absender geschickt und nicht von einem
Virus verbreitet wird. Weiter sollten Sie eine Personal Firewall
betreiben, die Verbindungen auf den genannten Ports nicht zulaesst.
Aktuelle Signaturen von Viren-Schutzprogrammen erkennen den Wurm.
Installieren Sie diese umgehend.
Weitere Informationen finden Sie auf der Webseite des BSI unter:
<
http://www.bsi.bund.de/av/vb/beagleb.htm>