Home AntiVirus Spyware Tutorials Testberichte FREE Downloads Kaspersky
Das Virenschutz und Security Informationsportal mit Thematiken rund um AntiVirus, Virenscanner und Firewall. Startseite
THEMEN
gratis Download Tipp
FREE Downloads
AntiVirus Produkte
Antivirus Lexikon
Viren Definitionen
Spyware Signaturen
Viren Info für Webseiten
Spy Info für Webseiten
Virenschutz-Tutorials
Virenschutz-Forum
Testberichte
AntiVirus-News
Techniklexikon
weitere Themen

AntiVirus

Win32.Bagle.BD-BG @mm - Virensignatur bei Virenschutz.info

A | B | C | D | E | F | G | H | I | J | K | L | M |
N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Viren-Lexikon
Bezeichnung Name Typ
 Bagle.BD  Win32.Bagle.BD-BG @mm  Ausführender Massenmailer Trojaner Backdoor
Schaden Entdeckt Ermittelt
 Mittel  01.03.2005  01.03.2005
Größe Verbreitung Noch unterwegs
 ~30 K (gepackt / verschlüsselt)  Mittel  Ja
Andere Namen
 Bagle.PAC (Kaspersky)
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     


Symptome :
1) Ungewöhnlich hohe Netzwerkaktivität
2) Seltsames Verhalten des Windows Explorer (Crashes)
3) Der User bekommt keine Verbindung zu AntiVirus - Webseiten
4) Firewall, Antivirus und andere Sicherheitsprogramme werden nicht ausgeführt
5) Präsenz der Dateien winshost.exe, wiwshost.exe im Windows System Ordner
Technische Beschreibung:
Die Dateien kommen gepackt mit PeX, einem populären PE Dateien Verschlüsselungshilfsprogramm.
PeX-komprimierte/verschlüsselte Dateien sind ziemlich einfach zu entschlüsseln/dekomprimieren, obwohl PeX viele Tricks benutzt, er schafft z.B. Ausnahmen (nachdem er vorher einen Ausnahme Bearbeiter eingerichtet hat), Anti-Abbau Macro`s (er springt z.B. in mitten in eine Anweisung) etc.

Der Bagle Trojaner überschreibt die Host`s Datei mit einem 3783-byt Buffer, der folgendes enthält:

127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 ftp:/ /ftp.kasperskylab.ru/updates/
127.0.0.1 ftp:/ /ftp.avp.ch/updates/
127.0.0.1 http:/ /www.kaspersky.ru/updates/
127.0.0.1 http:/ /updates1.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates3.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates4.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates2.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates5.kaspersky-labs.com/updates/
127.0.0.1 http:/ /downloads1.kaspersky-labs.com/updates/
127.0.0.1 http:/ /www.kaspersky-labs.com/updates/
127.0.0.1 ftp:/ /updates3.kaspersky-labs.com/updates/
127.0.0.1 ftp:/ /downloads1.kaspersky-labs.com/updates/
127.0.0.1 www3.ca.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

womit er den Zugang zu den meisten AV Seiten außer Kraft setzt.

Es ist interessant, anzumerken, dass der Wurm den hardcodierten Pfad der Host Datei nutzt (%system32%\drivers\etc).
Dieser Pfad kann modifiziert werden mit einem einfachen Registry Setting, dass dieses Wurm Feature unbrauchbar macht.

Der Wurm bringt einen Code in die Windows Explorer Applikation (explorer.exe). Dann scheinen alle bösartigen Aktivitäten des Wurms vom Windows Explorer beendet zu werden.

Der Wurm agiert auch als Downloader; er versucht eine Datei von speziellen Hosts runterzuladen und führt sie aus.
Weiterhin hat er auch Anti-Antivirus Features, zum Beispiel versucht er, verschiedene Prozesse, die zu AV/Firewall Produkten gehören, zu beenden sowie auch ihre Dienste.

[ Zurück zum Anfang ]

 >> AntiVirus Lexikon
  ANTIVIRUS LEXIKON
  INFORMATIONEN


Virenschutz Tutorials
Goldene Regeln
  WEITERE DIENSTE
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.
  PRODUKT INFO
  a-squared anti malware
  kaspersky
  Steganos Security Suite

 
Kurznavigation der Themen bei Virenschutz.info
 
AntiVirus News
Besuchen Sie auch den tagesaktuellen News Bereich
AntiVirus News
Viren Lexikon
Mit einer Vielzahl an Virensignaturen erwartet Sie hier das :
AntiVirus Lexikon 		Spyware Lexikon
Ebenso, wie unser Virenlexikon haben wir auch ein eigenes :
Spyware Lexikon 		Tutorials Bereiche
Von Virenschutz über Firewall bis Wlan erleutert in den Tutorials
Virenschutz Tutorials 		Virenscanner Übersicht
Produktempfehlungen von Security Software in der Übersicht
Übersicht Virenscanner
 
Kontakt
Impressum
 antivirus | virenscanner | spyware | anonym-surfen | antivirensoftware | wlan  
 Quicklinks: