Sie sind nicht angemeldet.

Virenwarnung: W32.Beagle.AG@mm

Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Sledge_Hammer

Ex- Sledge Hammer

  • »Sledge_Hammer« ist der Autor dieses Themas

Beiträge: 5 610

Wohnort: wilder süden

  • Nachricht senden

1

Dienstag, 20. Juli 2004, 14:44

W32.Beagle.AG@mm

Zitat


Name: W32.Beagle.AG@mm
Alias:

WORM_BAGLE.AH [Trend]
W32/Bagle.ai@MM [McAfee]
W32/Bagle-AI [Sophos]
Win32.Bagle.AI [Computer Associates]
Art: Wurm
Größe unterschiedlich
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Tauschbörsen
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Backdoor
Spezielle Entfernung: Tool
bekannt seit: 19.07.2004

Beschreibung:

W32.Beagle.AG@mm (Beagle.AG) ist ein Internetwurm, der sich per Massenmail mit seiner eigenen SMTP-Maschine verbreitet. Er installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer.

Durch die Ausführung des infizierten Anhangs wird ein Computer infiziert. Bei dieser Infektion erzeugt der Wurm folgende Dateien:

* %System%\winxp.exe
* %System%\winxp.exeopen
* %System%\winxp.exeopenopen
* %System%\winxp.exeopenopenopen
* %System%\winxp.exeopenopenopenopen

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"key" = "%System%\winxp.exe"
wird Beagle.AG beim Systemstart aktiviert.

In den Registrierungs-Schlüsseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sucht Beagle.AG nach verschiedenen Startprogramme. Diese werden aus der Registrierung gelöscht:

* 9XHtProtect
* Antivirus
* EasyAV
* FirewallSvr
* HtProtect
* ICQ Net
* ICQNet
* Jammer2nd
* KasperskyAVEng
* MsInfo
* My AV
* NetDy
* Norton Antivirus AV
* PandaAVEngine
* service
* SkynetsRevenge
* Special Firewall Service
* SysMonXP
* Tiny AV
* Zone Labs Client Ex

Außerdem beendet er laufende Prozesse von vielen bekannten Sicherheitsprodukten.

Beagle.AG installiert eine Backdoor, die den TCP-Port 1080 und UDP 1040 öffnet. Damit wirkt der infizierte Computer als offenes Mail-Relay.

Der Wurm verbreitet sich auch über Tauschbörsen. Er versucht sich in Verzeichnisse mit dem Teilnamen "shar" zu kopieren.Dabei verwendet er die Namen:

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Kaspersky Antivirus 5.0
* KAV 5.0
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen
.adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml
gesucht.

E-Mail-Verbreitung:

Von: <Absender gefälscht>

Betreff: Re_

Nachrichtentext:

* foto3 and MP3
* fotogalary and Music
* fotoinfo
* Lovely animals
* Animals
* Predators
* The snake
* Screen and Music

Anhang:

* Cat
* Cool_MP3
* Dog
* Doll
* Fish
* Garry
* MP3
* Music_MP3
* New_MP3_Player

Der Anhang hat eine exe, scr, com, cpl oder zip Erweiterung.

Beagle.AG enthält eine lange Liste mit Domain-Namen, die er kontaktiert, um ein PHP-Script auszuführen. Viele der enthaltenen Domains enthalten dieses Script jedoch nicht. Die Anfragen des Wurm erhöhen bei diesen Internetservern nur die Netzbelastung.

Entfernung

Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann der Wurm nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet
* die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her

Zur Entfernung sollte wie folgt vorgegangen werden:

1. Laden Sie eines der aufgeführten speziellen Entfernungstools.
Symantec (FxBeagle.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Durchsuchen Sie mit dem Entfernung-Tool den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren

Achtung:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.




quelle: bsi
Eingeschränkter Winterdienst. Betreten auf eigene Gefahr!


Dieser Beitrag wird 155 mal editiert werden, das letzte Mal von Sledge_Hammer: 05.08.2012, 10:37.