W32.Beagle.A@mm
Virus-Warnung - Virus-Beschreibung
| Name: | W32.Beagle.A@mm |
| Alias: |
WORM_BAGLE.A [Trend], I-Worm.Bagle[Kaspersky] |
| Art: | Wurm |
| Größe des Anhangs: | 15.872 Bytes |
| Betriebssystem: | Microsoft Windows |
| Art der Verbreitung: | Massenmailing |
| Verbreitung: | hoch |
| Risiko: | mittel |
| Schadensfunktion: | Massenmailing |
| Spezielle Entfernung: | Tool |
| bekannt seit: | 18. Januar 2004 |
Beschreibung:
W32.Beagle.A@mm ist ein Massenmailer-Wurm,
der sich über seine eigene
SMTP-Maschine
versendet.
Die Absender-Adresse wird dabei gefälscht!
Die E-Mail hat folgende Charakteristik:
Betreff: Hi
Nachricht: Test=)
<zufälliger Text>
--
Test, yep.
Name des Anhangs: <zufälliger Name>.exe
Größe des Anhangs: 15.872 Bytes
Wird der Wurm aktiviert, geschieht folgendes:
- Der Wurm prüft ob das Systemdatum vor dem 28. Januar 2004 steht.
Ist das Datum gleich oder größer als der 28. Januar beendet sich der Wurm selbst. - Er kopiert sich selbst unter "bbeagle.exe" in das Windows-Systemverzeichnis.
- Danach wird die Datei calc.exe gestartet. (Das ist der Taschenrechner der zum Windows-Betriebssystem gehört.)
- Dem Registrierungsschlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wird folgender Wert zugewiesen:
"d3dupdate.exe"" = "%system%\bbeagle.exe" - Dem Registrierungsschlüssel HKEY_CURRENT_USER\Software\Windows98 wird der Wert "uid" = "[zufälliger Wert]" und "frun" = "1" zugewiesen.
- Der Wurm sucht in Dateien mit den Erweiterungen .wab, .txt, .htm und .html
nach E-Mail-Adressen.
Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.
Der Wurm versendet sich nicht an E-Mail-Adressen die folgenden Text enhalten:
.r1
@hotmail.com
@msn.com
@microsoft.com
@avp.
- Der Wurm öffnet in einem befallen System den Port 6777 nach außen.
Hierdurch ist es möglich, das der Angreifer von außen ausführbare Dateien und Systemkommandos starten kann. - Der Schädling versucht zusätzlich alle 10 Minuten mit folgenden Web-Seiten Kontakt aufzunehmen, um ein PHP-Script nachzuladen.
| www.elrasshop.de www.it-msc.de www.getyourfree.net www.dmdesign.de 64.176.228.13 www.leonzernitsky.com 216.98.136.248 216.98.134.247 www.cdromca.com www.kunst-in-templin.de vipweb.ru antol-co.ru www.bags-dostavka.mags.ru |
www.5x12.ru bose-audio.net www.sttngdata.de wh9.tu-dresden.de www.micronuke.net www.stadthagen.org www.beasty-cars.de www.polohexe.de www.bino88.de www.grefrathpaenz.de www.bhamidy.de www.mystic-vws.de www.auto-hobby-essen.de |
www.polozicke.de www.twr-music.de www.sc-erbendorf.de www.montania.de www.medi-martin.de vvcgn.de www.ballonfoto.com www.marder-gmbh.de www.dvd-filme.com www.smeangol.com |
Die Scripte sind mittlerweile deaktiviert.
Hinweise zur Entfernung des Wurms
Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren.
Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von
Symantec: FxBeagle.exe
Direkt-Download
oder
Download mit Informationen
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
