W32.Beagle.J@mm

Virus-Warnung  -  Virus-Beschreibung

Beschreibung:

W32.Beagle.J@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Er verbreitet sich auch über Netzwerkfreigaben, die den Wortteil shar enthalten. Dies trifft beispielsweise für die Tauschbörse KaZaA zu.
 

Dem Anwender wird in der gefälschten Absenderadresse eine vertrauenswürdige Stelle in der eigenen (Empfänger-) Domain vorgespielt.
(Beispiel: support@<Empfänger-Domain>)

Hinweis:
Bei Privatanwender ist der Domain-Name üblicherweise der Name des Providers.
(Beispiel: ...@gmx.de, ...@hotmail.de)

Bei der angehängten Datei handelt es sich um ein kennwortgeschütztes ZIP-Archiv. Im Nachrichtentext wird unter anderem das Kennwort mitgeliefert.

Die E-Mail hat folgende Charakteristik:

Von (gefälscht; eine der folgenden):

management@<Empfänger-Domain>
administration@<Empfänger-Domain>
staff@<Empfänger-Domain>
noreply@<Empfänger-Domain>
support@<Empfänger-Domain>

Betreff (einer der folgenden):

E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.

Nachrichtentext (einer der folgenden):

Dear user of <Empfänger-Domain>,
Dear user of <Empfänger-Domain> gateway e-mail server,
Dear user of e-mail server "<Empfänger-Domain>",
Hello user of <Empfänger-Domain> e-mail server,
Dear user of "<Empfänger-Domain>" mailing system,
Dear user, the management of <Empfänger-Domain> mailing system wants to let you know that,

gefolgt von einem der folgenden Texte:

- Your e-mail account has been temporary disabled because of unauthorized access.
- Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
- Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
- We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
- Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.
- Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.

gefolgt von einem der folgenden Texte:

For more information see the attached file.
Further details can be obtained from attached file.
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
Please, read the attach for further details.
Pay attention on attached file.

gefolgt von einem der folgenden Texte:

For security reasons attached file is password protected. The password is "<password>".
For security purposes the attached file is password protected. Password is "<password>".
Attached file protected with the password for security reasons. Password is <password>.
In order to read the attach you have to use the following password: <password>.
 

gefolgt von einem der folgenden Texte:

The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,

gefolgt von:

The <domain> team http://www.<domain>

Name des Anhangs (einer der folgenden als .ZIP):

Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message

Größe des Anhangs: 12.288 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi

Beagle.J sendet keine infizierte E-Mail an Adressen mit folgenden Zeichenketten:

@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@

Der Wurm kopiert sich im infizierten System unter %System%\irun4.exe

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Mit dem Registrierungs-Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
srate.exe"="%System%\irun4.exe

wird Beagle.J beim Rechnerstart aktiviert.

Ein Backdoor wird installiert und öffnet auf dem infizierten Computer den TCP-Port 2745.

Weiterhin versucht der Wurm das Update von Schutzprogrammen zu verhindern, in dem es verschiedene Updateprozesse beendet:

Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe
 

Entfernung des Wurms Beagle

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
Symantec (FxBeagleB.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn