Sie sind nicht angemeldet.

Virenwarnung: W32.Beagle.AO@mm

Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

HilliH

Meister

  • »HilliH« ist der Autor dieses Themas

Beiträge: 2 587

  • Nachricht senden

1

Freitag, 13. August 2004, 17:44

W32.Beagle.AO@mm

Da Sledge ja net da ist, hier die Infos mal von meiner einer ;)

Zitat


Kurzbeschreibung des Virus Kategorie: Virus-Warnung
Name: W32.Beagle.AO@mm
Alias: W32/Bagle.aq@MM [McAfee]
WORM_BAGLE.AC [Trend]
Win32.Bagle.AG [Computer Associates]

Art: Wurm
Größe 5.932 Bytes (ZIP-Datei)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Backdoor
Spezielle Entfernung: kein
bekannt seit: 09.08.2004

Beschreibung
Allgemeines
W32.Beagle.AO@mm (Beagle.AO) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet ein Programm, das den Wurm aus dem Internet nachlädt und anschließend startet. Damit wird der Computer infiziert. Er installiert eine Backdoor, die die Ports UDP und TCP 80 öffnet.

Bei der Ausführung des Anhangs erzeugt der Wurm folgende Datei:

%System%\WINdirect.exe
Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"win_upd.exe"="%System%\WINdirect.exe"
wird der Downloader beim Systemstart aktiviert.

Außerdem wird im infizierten System folgende Datei angelegt:

%System%\_dll.exe
Diese Datei wird als versteckter Prozess gestartet und ist im Taskmanager nicht sichtbar. Er führt die weiteren Aktionen durch.

Zunächst werden Prozesse von Anti-Virus-Programmen und Prozesse zum Update von Anti-Virus-Programmen gestoppt. Anschließend wird der Wurm selbst als Datei

%Windir%\~.exe
aus dem Internet geladen. Dazu kennt das Downloader-Programm eine Vielzahl von Internetseiten.

Beagle.AO legt folgende Dateien an:

%System%\windll.exe
%System%\windll.exeopen
%System%\windll.exeopenopen
%System%\re_file.exe
Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"erthgdr"="%System%\windll.exe"
wird Beagle.AO beim Systemstart aktiviert.

Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen
.adb, .asp, .cfg, .cgi,.dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml gesucht.

Beagle.AO installiert auf dem infizierten Computer eine Backdoor. Damit wird TCP- und UDP-Port 80 geöffnet.

Verbreitungsart
Der Virus verbreitet sich per E-Mail. Nachstehend die Einträge in den einzelnen E-Mail-Feldern.

Von: <Absender gefälscht>

Betreff: <kein Betreff>

Nachrichtentext: New price

Anhang:

08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price2.zip
price_08.zip
price_new.zip


Die Verbreitung über Netzwerk geschieht durch kopieren der Wurmdatei in Freigabe-Verzeichnisse, die den Namensteil share enthalten. Die Dateinamen sind:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
dobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
Entfernung
Der Wurm kann nicht im laufenden System entfernt werden:
der laufende Prozess blockiert die Datei
Windows schützt das Verzeichnis, in dem sich das Programm befindet
die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her
Vorgehensweise der Entfernung
Update der Viren-Signaturen des Viren-Schutzprogramms
Systemwiederherstellung von Windows Me/XP deaktivieren
Start des Computers in den abgesicherten Modus
Entfernung des Wurms mit dem Viren-Schutzprogramm
Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
infizierte Dateien löschen
Einträge aus der Windows-Registrierung entfernen
normaler Systemstart
Systemwiederherstellung (Me/XP) aktivieren
Besondere Hinweise:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

(Erstellt: 10.08.2004)



Quelle: BSI

The iPhone is nothing more than a luxury bauble that will appeal to a few gadget freaks. In terms of its impact on the industry, the iPhone is less relevant. [...] Apple will sell a few to its fans, but the iPhone won't make a long-term mark on the industry.

Matthew Lynn, Published in Bloomberg, Jan 13, 2007