CLH - Hoerspielforum und mehr

Zitat

Kategorie: Virus-Information
Name: W32.Beagle.AV@mm
Alias:

Win32.Bagle.AT [F-Secure]
W32/Bagle.bb@mm [Mc Afee]
Art: Wurm
Größe variiert, ca. 20-30k
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Peer-to-Peer
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing, Backdoor
Spezielle Entfernung: keine
bekannt seit: 29.10.2004
Beschreibung
Allgemeines

W32.Beagle.AV@mm (Beagle.AV) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail oder über Peer-to-Peer-Netzwerke. Außerdem wird eine Backdoor installiert, die auf Port 81 auf Befehle von außen wartet.
Verbreitungsart

Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern)

Betreffzeile und Inhalt der E-Mail sind zufällig gewählt, enthalten aber jeweils nur einen kurzen Text in englischer Sprache.

Momentan bekannt sind die Betreffzeilen:

* Re:
* Re: Hello
* Re: Thank you
* Re: Thanks:
* Re: Hi

Die verseuchten E-Mails enthalten Anhänge mit einem der folgenden Namen:

* Price
* price
* Joke

und einer der folgenden Dateierweiterung:

* exe
* scr
* com
* cpl
* zip

Schadfunktion

Auf einem infizierten System wird die folgende Datei abgelegt und ausgeführt:

* %System%\wingo.exe

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Windows-Registry-Schlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"wingo"="%System%\wingo.exe"

wird der Wurm beim Systemstart aktiviert.

Es wird eine Backdoor geöffnet, über die von außen Zugriff auf den Rechner erlangt werden kann.
Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Update der Viren-Signaturen des Viren-Schutzprogramms
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Entfernung des Wurms mit dem Viren-Schutzprogramm
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren

Besondere Hinweise:

Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

(Erstellt: 29.10.2004)