Home AntiVirus Spyware Tutorials Testberichte FREE Downloads Kaspersky
Das Virenschutz und Security Informationsportal mit Thematiken rund um AntiVirus, Virenscanner und Firewall. Startseite
THEMEN
gratis Download Tipp
FREE Downloads
AntiVirus Produkte
Antivirus Lexikon
Viren Definitionen
Spyware Signaturen
Viren Info für Webseiten
Spy Info für Webseiten
Virenschutz-Tutorials
Virenschutz-Forum
Testberichte
AntiVirus-News
Techniklexikon
weitere Themen

AntiVirus

Win32.Bagle.AE@mm - Virensignatur bei Virenschutz.info

A | B | C | D | E | F | G | H | I | J | K | L | M |
N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Viren-Lexikon
Bezeichnung Name Typ
 Bagle.AE  Win32.Bagle.AE@mm  Win.32 Worm
Schaden Entdeckt Ermittelt
 Niedrig  08.07.2004  08.07.2004
Größe Verbreitung Noch unterwegs
 30 KB  Sehr gering  Unbekannt
Andere Namen
 I-Worm.Bagle.ad, WORM_BAGLE.AE
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     


Symptome :

• Dateien:
%SYSDIR%\loader_name.exe
%SYSDIR%\loader_name.exeopen
%SYSDIR%\loader_name.exeopenopen
wo %SYSDIR% die Windows System Directory (z.B. C:\Windows\System, C:\WinNT\System32) ist
• Registry Key:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mit dem wert:

"reg_key"="%SYSDIR%\loader_name.exe
• Port 1234 geöffnet (ersichtlich durch den Gebrauch "netstat -a" am Befehls Prompter)

Technische Beschreibung:

Der Wurm kommt als Email in folgender Form:

From: [spoofed]

Subject: eines der folgenden:
• Re: Msg reply
• Re: Hello
• Re: Yahoo!
• Re: Thank you!
• Re: Thanks :)
• RE: Text message
• Re: Document
• Incoming message
• Re: Incoming Message
• RE: Incoming Msg
• RE: Message Notify
• Notification
• Changes..
• Update
• Fax Message
• Protected message
• RE: Protected message
• Forum notify
• Site changes
• Re: Hi
• Encrypted document

Anhang: hat eine .exe, .scr, .com, .zip, .vbs, .hta or .cpl Extension und einen der folgenden Namen:
• Information
• Details
• text_document
• Updates
• Readme
• Document
• Info
• Details
• MoreInfo
• Message
• Sources

Body text: enthält eventuell einen oder mehrere von diesen:
• Read the attach.
• Your file is attached.
• More info is in attach
• See attach.
• Please, have a look at the attached file.
• Your document is attached.
• Please, read the document.
• Attach tells everything.
• Attached file tells everything.
• Check attached file for details.
• Check attached file.
• Pay attention at the attach.
• See the attached file for details.
• Message is in attach
• Here is the file.
• For security reasons attached file is password protected. The password is [password]
• For security purposes the attached file is password protected. Password -- [password]
• Note: Use password [password] to open archive.
• Attached file is protected with the password for security reasons. Password is [password]
• In order to read the attach you have to use the following password: [password]
• Archive password: [password]
• Password - [password]
• Password: [password]


Wenn er läuft, zeigt der Wurm folgende Fehlermeldung:

Can't find a viewer associated with the file

und schafft eine der folgenden Mutexe:
• |MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
• 'D'r'o'p'p'e'd'S'k'y'N'e't'
• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
• [SkyNet.cz]SystemsMutex
• AdmSkynetJklS003
• _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

dann schafft er folgende Dateien:
• %SYSDIR%\loader_name.exe -- Wurm Exe Datei
wo %SYSDIR% imWindows System Directory (z.B. C:\Windows\System, C:\WinNT\System32) ist
• %SYSDIR%\loader_name.exeopen -- Wurm Kopie mit angehängtem Müll
• %SYSDIR%\loader_name.exeopenopen -- Wurm gezippt (eventuell Passwort geschützt)

und schafft den Registry Key:
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
"reg_key"="%SYSDIR%\loader_name.exe

Der o.g. Key wird zehnmal pro Sekunde geschaffen, so dass es nichts nützt, ihn zu löschen, wenn nicht der Prozess (loader_name.exe)beseitigt wird.

Der Wurm versucht folgende Strings aus den Registry Keys zu löschen:
• HKCU\Software\Microsoft\Windows\My AV
• HKCU\Software\Microsoft\Windows\Zone Labs Client Ex
• HKCU\Software\Microsoft\Windows\9XHtProtect
• HKCU\Software\Microsoft\Windows\Antivirus
• HKCU\Software\Microsoft\Windows\Special Firewall Service
• HKCU\Software\Microsoft\Windows\service
• HKCU\Software\Microsoft\Windows\Tiny AV
• HKCU\Software\Microsoft\Windows\ICQNet
• HKCU\Software\Microsoft\Windows\HtProtect
• HKCU\Software\Microsoft\Windows\NetDy
• HKCU\Software\Microsoft\Windows\Jammer2nd
• HKCU\Software\Microsoft\Windows\FirewallSvr
• HKCU\Software\Microsoft\Windows\MsInfo
• HKCU\Software\Microsoft\Windows\SysMonXP
• HKCU\Software\Microsoft\Windows\EasyAV
• HKCU\Software\Microsoft\Windows\PandaAVEngine
• HKCU\Software\Microsoft\Windows\Norton Antivirus AV
• HKCU\Software\Microsoft\Windows\KasperskyAVEng
• HKCU\Software\Microsoft\Windows\SkynetsRevenge
• HKCU\Software\Microsoft\Windows\ICQ Net

Um sich zu verschicken, durchsucht der Wurm die lokale Festplatte nach Email Addressen in Dateien mit folgenden Endungen:

.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp

und benutzt seine eigenen SMTP Maschine, um den anvisierten Mailserver zu erreichen und Mails an ihn zu schicken, er lässt dabei Emailadressen aus, die Folgendes enthalten:

@hotmail, @msn, @microsoft, rating@, f-secur, news, update, anyone@, bugs@, contract@, feste, gold-certs@, help@, info@, nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix, linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab, winzip, google, winrar, samples, abuse, panda, cafee, spam, @avp., noreply, local, root@, postmaster@.

Ebenso kopiert sich der Wurm in Directories, die shar in ihrem Namen enthalten (z.B. P2P Share Ordner) mit einem der folgenden Namen:
• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Windows XP, WinXP Crack, working Keygen.exe
• Microsoft Office XP working Crack, Keygen.exe
• Porno, sex, oral, anal cool, awesome!!.exe
• Porno Screensaver.scr
• Serials.txt.exe
• KAV 5.0
• Kaspersky Antivirus 5.0
• Porno pics arhive, xxx.exe
• Windows Sourcecode update.doc.exe
• Ahead Nero 7.exe
• Windown Longhorn Beta Leak.exe
• Opera 8 New!.exe
• XXX hardcore images.exe
• WinAmp 6 New!.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• Adobe Photoshop 9 full.exe
• Matrix 3 Revolution English Subtitles.exe
• ACDSee 9.exe


Der Wurm fungiert auch als Backdoor auf Port 1234.

[ Zurück zum Anfang ]

 >> AntiVirus Lexikon
  ANTIVIRUS LEXIKON
  INFORMATIONEN


Virenschutz Tutorials
Goldene Regeln
  WEITERE DIENSTE
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.
  PRODUKT INFO
  kaspersky gratis
  MAXA Crypt SE
  Bitdefender Internet Security 2008

 
Kurznavigation der Themen bei Virenschutz.info
 
AntiVirus News
Besuchen Sie auch den tagesaktuellen News Bereich
AntiVirus News
Viren Lexikon
Mit einer Vielzahl an Virensignaturen erwartet Sie hier das :
AntiVirus Lexikon 		Spyware Lexikon
Ebenso, wie unser Virenlexikon haben wir auch ein eigenes :
Spyware Lexikon 		Tutorials Bereiche
Von Virenschutz über Firewall bis Wlan erleutert in den Tutorials
Virenschutz Tutorials 		Virenscanner Übersicht
Produktempfehlungen von Security Software in der Übersicht
Übersicht Virenscanner
 
Kontakt
Impressum
 antivirus | virenscanner | spyware | anonym-surfen | antivirensoftware | wlan  
 Quicklinks: