Sie sind nicht angemeldet.

Virenwarnung: W32.Beagle.AB@mm

Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Sledge_Hammer

Ex- Sledge Hammer

  • »Sledge_Hammer« ist der Autor dieses Themas

Beiträge: 5 613

Wohnort: wilder süden

  • Nachricht senden

1

Freitag, 16. Juli 2004, 17:37

W32.Beagle.AB@mm

Zitat


Name: W32.Beagle.AB@mm
Alias:

W32/Bagle.af@MM [McAfee]
WORM_BAGLE.AF [Trend]
Art: Wurm
Größe ca. 24 kB
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Backdoor
Spezielle Entfernung: keine
bekannt seit: 15.07.2004

Beschreibung:

W32.Beagle.AB@mm (Beagle.AB) ist ein Internetwurm, der sich per Massenmail mit seiner eigenen SMTP-Maschine verbreitet. Er installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer.

Durch die Ausführung des infizierten Anhangs wird ein Computer infiziert. Bei dieser Infektion erzeugt der Wurm folgende Dateien:

* %System%\sysxp.exe
* %System%\sysxp.exeopen
* %System%\sysxp.exeopenopen
* %System%\sysxp.exeopenopenopen
* %System%\sysxp.exeopenopenopenopen

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"key" = "%System%\sysxp.exe"

wird Beagle.AB beim Systemstart aktiviert.

W32.Beagle.AB deaktiviert sich ab einem Systemdatum 25. Januar 2005 selbst.

In den Registrierungs-Schlüsseln:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sucht Beagle.AB nach verschiedenen Startprogramme. Diese werden aus der Registrierung gelöscht:

* My AV
* Zone Labs Client Ex
* 9XHtProtect
* Antivirus
* Special Firewall Service
* service
* Tiny AV
* ICQNet
* HtProtect
* NetDy
* Jammer2nd
* FirewallSvr
* MsInfo
* SysMonXP
* EasyAV
* PandaAVEngine
* Norton Antivirus AV
* KasperskyAVEng
* SkynetsRevenge
* ICQ Net

Außerdem beendet er laufende Prozesse von vielen bekannten Sicherheitsprodukte.

Beagle.AB installiert eine Backdoor, die den TCP-Port 1080 öffnet. Damit wirkt der infizierte Computer als offenes Mail-Relay.

Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp gesucht.

E-Mail-Verbreitung

Von: <Absender gefälscht>

Betreff:

* Re: Msg reply
* Re: Hello
* Re: Yahoo!
* Re: Thank you!
* Re: Thanks :)
* RE: Text message
* Re: Document
* Incoming message
* Re: Incoming Message
* RE: Incoming Msg
* RE: Message Notify
* Notification
* Changes..
* Update
* Fax Message
* Protected message
* RE: Protected message
* Forum notify
* Site changes
* Re: Hi
* Encrypted document

Nachrichtentext:

* For security reasons attached file is password protected. The password is
* For security purposes the attached file is password protected. Password --
* Note: Use password
* Attached file is protected with the password for security reasons. Password is
* In order to read the attach you have to use the following password:
* Archive password:
* Password
* Password:
* Read the attach. Your file is attached.
* More info is in attach
* See attach.
* Please, have a look at the attached file.
* Your document is attached.
* Please, read the document.
* Attach tells everything.
* Attached file tells everything.
* Check attached file for details.
* Check attached file.
* Pay attention at the attach.
* See the attached file for details.
* Message is in attach
* Here is the file.

Anhang:

* Information
* Details
* text_document
* Updates
* Readme
* Document
* Info
* MoreInfo
* Message

Der Anhang hat eine exe, scr, com, cpl oder zip Erweiterung.

Entfernung

Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann der Wurm nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet
* die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her

Zur Entfernung sollte wie folgt vorgegangen werden:

1. Systemwiederherstellung von Windows Me/XP deaktivieren
2. Start des Computers in den abgesicherten Modus
3. alle Dateien mit aktuellen Viren-Definitionen prüfen lassen
4. wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
5. normaler Systemstart
6. Systemwiederherstellung (Me/XP) aktivieren

Achtung:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.



quelle: bsi
Eingeschränkter Winterdienst. Betreten auf eigene Gefahr!


Dieser Beitrag wird 155 mal editiert werden, das letzte Mal von Sledge_Hammer: 05.08.2012, 10:37.