W32.Beagle.B@mm

Virus-Warnung  -  Virus-Beschreibung

 

Name: W32.Beagle.B@mm
Alias: W32.Alua@mm [Symantec (vorläufig)],
WORM_BAGLE.B [Trend],
W32/Tanx-A
Art: Wurm
Größe des Anhangs: 11.264 Bytes
Betriebssystem: Windows 95, 98, ME, NT, 2000, XP
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing
Installation eines Backdoors
Spezielle Entfernung: Tool
bekannt seit: 17. Februar 2004

Beschreibung:

W32.Beagle.B@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet.
Die Absender-Adresse wird dabei gefälscht!

Er verbreitet sich nur bis zum 25. Februar 2004.

Die E-Mail hat folgende Charakteristik:

Von: <Adresse gefälscht>

Betreff: ID <9 zufällige Zeichen> ... thanks

Nachricht:
Yours ID <6 zufällige Zeichen>
--
Thank

Name des Anhangs: <6 zufällige Zeichen>.exe
Größe des Anhangs: 11.264 Bytes

Beispiel einer Meldung

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

WAB
TXT
HTM
HTML

Beagle.B sendet keine infizierte E-Mail an folgende Domains

hotmail.com
msn.com
microsoft.com
avp.com

Ein Backdoor öffnet auf dem infizierten Computer den TCP-Port 8866. Eine Benachrichtigung über die Infektion sendet der Wurm an verschiedene Server im Internet. Diese Server sind:

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
 

Der Wurm kopiert sich im infizierten System unter %System%\AU.EXE

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Registrierungs-Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Au.exe = “C:\%System%\AU.EXE”

wird Beagle.B beim Rechnerstart aktiviert.

Entfernung des Wurms Beagle.B

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
 

Symantec (FxBeagle.exe): Direkt-Download externer Link oder Download mit englischer Beschreibung externer Link
NAI (Stinger.exe): Direkt-Download externer Link oder Download mit englischer Beschreibung externer Link

 





Quelle:

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn 



 































                  		

 





 





	

	

		

			
			

			
			Zurück blättern

			
			

			
			HOME - Prommersberger EDV-ORGANISATION

			
			

			
			Vorwärts blättern

		

		

			

			

			
			(c) PROKA

			EDV-ORGANISATION

			PROMMERSBERGER

			
			22.11.2011