CLH - Hoerspielforum und mehr

Zitat

Name: W32.Beagle.X@mm
Alias: I-Worm.Bagle.z [Kaspersky]
WORM_BAGLE.Z [Trend]
W32/Bagle.aa@MM [McAfee]
W32/Bagle-AA [Sophos]
Art: Wurm
Größe des Anhangs: unterschiedlich
Betriebssystem: Windows 95, 98, ME, NT, 2000, XP, Server 2003
Art der Verbreitung: Massenmailing, Netzwerkfreigaben
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing
Installation einer Backdoor
Spezielle Entfernung: Tool
bekannt seit: 28.04.2004

Beschreibung:

W32.Beagle.X@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Er verbreitet sich auch über Netzwerkfreigaben, die den Wortteil shar enthalten. Dies trifft beispielsweise für die Tauschbörse KaZaA zu.
Wie seine Vorgänger installiert der Wurm eine Backdoor.

Bei der Infektion des Systems (Ausführen der angehängten Datei) zeigt Beagle.X ein Windows-Fenster mit dem Text

Can't find a viewer associated with the file.

an.

Die E-Mail hat folgende Charakteristik:

Von:

gefälschte Adresse

Betreff (einer der folgenden):

Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
New changes
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

Nachrichtentext (einer der folgenden, wenn der Anhang eine .ZIP-Datei ist):

For security reasons attached file is password protected. The password is
For security purposes the attached file is password protected. Password --
Note: Use password
Attached file is protected with the password for security reasons. Password is
In order to read the attach you have to use the following password:
Archive password:
Password
Password:

Im Falle der .ZIP-Datei wird das Kennwort als Grafik angehängt.

Ist der Anhang keine .ZIP-Datei, so ist das Nachrichtentextfeld leer.

Name des Anhangs:

Information
Details
text_document
Readme
Document
Info
the_message
Details
MoreInfo
Message
You_will_answer_to_me
Half_Live
Counter_strike
Loves_money
the_message
Alive_condom
Joke
Toy
Nervous_illnesses
Manufacture
You_are_dismissed
Your_complaint
Your_money
Smoke
I_search_for_you

Erweiterung:

.exe
.com
.scr
.zip

Größe des Anhangs: variiert, teilweise aufgefüllt mit unsinnigen Zeichen.

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp

Der Wurm legt im infizierten System unterschiedliche Dateien an:

%System%\Drvddll.exe
%System%\Drvddll.exeopen
%System%\Drvddll.exeopenopen
%System%\drvddll.exeopenopenopen
%System%\Drvddll.exeopenopenopenopen



Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Registrierungs-Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Drvddll_exe"="%system%\drvddll.exe

wird Beagle.X beim Rechnerstart aktiviert.

Ein Backdoor wird installiert und öffnet auf dem infizierten Computer den TCP-Port 2535.

Weiterhin versucht der Wurm viele Prozesse von Viren-Schutzprogrammen (und andere) zu beenden.

Der Wurm kopiert sich in Netzwerkfreigaben, die den Wortteil shar enthalten. Dies trifft beispielsweise für die Tauschbörse KaZaA zu.

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Der infizierte Computer versucht ein PHP-Script auf verschiedenen Internetseiten zu erreichen.

Nach dem 25. Januar 2005 soll Beagle.X sich selbst vom infizierten System entfernen.

Entfernung des Wurms Beagle

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Symantec (FxBeagle.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung



Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 29.04.2004)