THEMEN

AntiVirus

Win32.Bagle.DC@mm - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Bagle.DC  Win32.Bagle.DC@mm  Email-Wurm
Schaden Entdeckt Ermittelt
 Mittel  20.09.2005  20.09.2005
Größe Verbreitung Noch unterwegs
 etwa 35 kb  gering  Ja
Andere Namen
 Win32.Bagle.dg Email-Wurm.Win32.Bagle.dc Troj/BagleDl-U Troj/BagleDl-V
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Notepad ist geöffnet.
Präsenz folgender Dateien im \SYSTEM\ Ordner:
winshost.exe (35 kb)
wiwshost.exe (8 kb)
Präsenz folgender Dateien im \WINDOWS\ Ordner:
firewall_anti.exe (90 kb)
firewall_anti.exe.dll (77 kb)
Präsenz eines der folgenden Registry Keys:
[HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionRun]
"winshost.exe"="%SYSTEM%winshost.exe"
[HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionRun]
"firewall_anti"="%WINDOWS%firewall_anti.exe"
[HKEY_CURRENT_USERSoftwareFirstRun]
"FirstRunRR"=dword:00000001

wo %WINDOWS% auf den WINDOWS Ordner (oder WinNT bei auf Windows NT basierenden Systemen) weist
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen und "System32" Ordner bei WinNT Systemen.

Technische Beschreibung:

Der Virus kommt als gezippte Exe Datei eines Email Anhangs.
Die Zip Datei ist ca. 17 kb groß und enthält eine Exe mit ca. 35 kb.
Er besteht aus 5 Komponenten, hauptsächlich Trojaner, Downloader und Dropper.
winshost.exe (~35 kb) - dropper 1
wiwshost.exe (~8 kb) - trojan/downloader 1
osa6.gif (~2 kb) - downloader 2
firewall_anti.exe (~95 kb) - dropper 2
firewall_anti.exe.dll (~70 kb) - trojan

Grundsätzlich erschafft und führt der Virus Dropper, wenn er läuft, den Trojaner aus, der in den Explorer eingebettet wird. Als nächstes versuchte er eine Datei auszuführen von einer Reihe von ferngesteuerten Servern, verhindert verschiedene Dienste und Anwendungen, die mit der Sicherheit zusammen hängen. Er schafft/überschreibt die Host Datei mit einer Default Datei. Er startet die neu herunter geladene Datei, die eine andere Datei runter lädt, die ein Dropper ist und einen Trojaner erschafft/ausführt, der AV Seiten blockt.
Anmerkung: Weil einige der Viruskomponenten unabhängig sind, werden sie eventuell aktualisiert und ihre Aktionen und Größen können leicht variieren.

Einmal in Betrieb, macht der Virus (Dropper) folgendes:
1. Erschafft die vorher genannten Keys und Dateien, die in den Symptomen genannt werden.
2. Er legt die wiwshost.exe im Explorer ab (die der erste Downloader ist)

Sobald wiwshost.exe (der Trojaner/Downloader) läuft, macht er folgendes :
1. Er entfernt die folgenden Registry Keys:
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"Symantec NetDriver Monitor"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"ccApp"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"NAV CfgWiz"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"SSC_UserPrompt"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"McAfee Guardian"
HKCUSOFTWAREMicrosoftWindowsCurrentVersion Run"McAfee.InstantUpdate.Monitor"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"APVXDWIN"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"KAV50"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"avg7_cc"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"avg7_emc"
HKLMSOFTWAREMicrosoftWindowsCurrentVersion Run"Zone Labs Client
HKLMSOFTWARESymantec
HKLMSOFTWAREMcAfee
HKLMSOFTWAREKasperskyLab
HKLMSOFTWAREAgnitum
HKLMSOFTWAREPanda Software
HKLMSOFTWAREZone Labs

2. Er macht folgende Dienste funktionsunfähig:
wuauserv PAVSRV PAVFNSVR PSIMSVC Pavkre PavProt PREVSRV PavPrSrv SharedAccess navapsvc NPFMntor Outpost Firewall SAVScan SBService Symantec Core LC ccEvtMgr SNDSrvc ccPwdSvc ccSetMgr.exe SPBBCSvc KLBLMain avg7alrt avg7updsvc vsmon CAISafe avpcc fsbwsys backweb client - 4476822 backweb client-4476822 fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService navapsvc NProtectService Norton Antivirus Server VexiraAntivirus dvpinit dvpapi schscnt BackWeb Client - 7681197 F-Secure Gatekeeper Handler Starter FSMA AVPCC KAVMonitorService Norman NJeeves NVCScheduler nvcoas Norman ZANDA PASSRV SweepNet SWEEPSRV.SYS NOD32ControlCenter NOD32Service PCCPFW Tmntsrv AvxIni XCOMM ravmon8 SmcService BlackICE PersFW McAfee Firewall OutpostFirewall NWService alerter sharedaccess NISUM NISSERV vsmon nwclnth nwclntg nwclnte nwclntf nwclntd nwclntc wuauserv navapsvc Symantec Core LC SAVScan kavsvc DefWatch Symantec AntiVirus Client NSCTOP Symantec Core LC SAVScan SAVFMSE ccEvtMgr navapsvc ccSetMgr VisNetic AntiVirus Plug-in McShield AlertManger McAfeeFramework AVExch32Service AVUPDService McTaskManager Network Associates Log Service Outbreak Manager MCVSRte mcupdmgr.exe AvgServ AvgCore AvgFsh awhost32 Ahnlab task Scheduler MonSvcNT V3MonNT V3MonSvc FSDFWD

3. Er schafft einen Thread, der die Ausführung dieser Anwendungen beendet:
NUPGRADE.EXE MCUPDATE.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE FIREWALL.EXE ATUPDATER.EXE LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE UPGRADER.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE

4. Er benennt die Namen folgender Dateien um:
mysuperprog.exe CCSETMGR.EXE CCEVTMGR.EXE NAVAPSVC.EXE NPFMNTOR.EXE symlcsvc.exe SPBBCSvc.exe SNDSrvc.exe ccApp.exe ccl30.dll ccvrtrst.dll LUALL.EXE AUPDATE.EXE Luupdate.exe LUINSDLL.DLL RuLaunch.exe CMGrdian.exe Mcshield.exe outpost.exe Avconsol.exe Vshwin32.exe VsStat.exe Avsynmgr.exe kavmm.exe Up2Date.exe KAV.exe avgcc.exe avgemc.exe PcCtlCom.exe Tmntsrv.exe TmPfw.exe zonealarm.exe zatutor.exe zlavscan.dll zlclient.exe isafe.exe cafix.exe vsvault.dll av.dll vetredir.dll CCSETMGR.EXE CCEVTMGR.EXE NAVAPSVC.EXE NPFMNTOR.EXE symlcsvc.exe SPBBCSvc.exe SNDSrvc.exe ccApp.exe ccl30.dll ccvrtrst.dll LUALL.EXE AUPDATE.EXE Luupdate.exe LUINSDLL.DLL RuLaunch.exe CMGrdian.exe Mcshield.exe outpost.exe Avconsol.exe Vshwin32.exe VsStat.exe Avsynmgr.exe kavmm.exe Up2Date.exe KAV.exe avgcc.exe avgemc.exe zonealarm.exe zatutor.exe zlavscan.dll zlclient.exe isafe.exe cafix.exe vsvault.dll av.dll vetredir.dll C1CSETMGR.EXE CC1EVTMGR.EXE NAV1APSVC.EXE NPFM1NTOR.EXE s1ymlcsvc.exe SP1BBCSvc.exe SND1Srvc.exe ccA1pp.exe cc1l30.dll ccv1rtrst.dll LUAL1L.EXE AUPD1ATE.EXE Luup1date.exe LUI1NSDLL.DLL RuLa1unch.exe CM1Grdian.exe Mcsh1ield.exe outp1ost.exe Avc1onsol.exe Vshw1in32.exe Vs1Stat.exe Av1synmgr.exe kav12mm.exe Up222Date.exe K2A2V.exe avgc3c.exe avg23emc.exe zonealarm.exe zatutor.exe zlavscan.dll zo3nealarm.exe zatu6tor.exe zl5avscan.dll zlcli6ent.exe is5a6fe.exe c6a5fix.exe vs6va5ult.dll a5v.dll ve6tre5dir.dll

5. Er versucht osa6.gif herunter zu laden und auszuführen von:
http://www.yannick-spruyt.be http://www.yayadownload.com http://www.yesterdays.co.za http://www.yesterdays.co.za http://www.yshkj.com http://www.yshkj.com http://www.zakazcd.dp.ua http://www.students.stir.ac.uk http://www.zenesoftware.com http://www.zentek.co.za http://www.czzm.com http://www.izoli.sk http://www.zorbas.az http://www.zsbersala.edu.sk http://www.triptonic.ch http://www.tv-marina.com http://www.travelourway.com http://www.megaserve.net http://www.trgd.dobrcz.pl http://www.mild.at http://www.mild.at http://www.kingsley.ch http://www.mild.at http://www.elvis-presley.ch http://www.gomyhome.com.tw http://www.ider.cl http://www.ascolfibras.com http://www.on24.ee http://www.xojc.com http://www.x-treme.cz http://www.gymzn.cz http://www.gymzn.cz http://www.gymzn.cz http://www.xiantong.net http://www.xmpie.com http://www.xmpie.com http://www.xmtd.com http://www.onlink.net http://www.discoteka-funfactory.com http://www.toussain.be http://www.idcs.be http://www.gepeters.org http://www.angham.de http://www.idaf.de http://www.bolz.at http://www.societaet.de http://www.ppm-alliance.de http://www.udc-cassinadepecchi.it http://www.universe.sk http://www.jingjuok.com http://www.gemtrox.com.tw http://www.uspowerchair.com http://www.steripharm.com http://www.beall-cpa.com http://www.jcm-american.com http://www.vercruyssenelektro.be http://www.centrovestecasa.it http://www.vet24h.com http://www.vinimeloni.com http://www.vnrvjiet.ac.in http://www.vote2fateh.com http://www.marketvw.com http://www.formholz.at http://www.checkonemedia.nl http://www.fotomax.fi http://www.vw.press-bank.pl http://www.wamba.asn.au http://www.cz-wanjia.com http://www.czwanqing.com http://www.wdlp.co.za http://www.automobilonline.de http://www.bangyan.cn http://www.21ebuild.com http://www.eagle.com.cn http://www.eagleclub.com.cn http://www.eagleclub.com.cn http://www.sanjinyuan.com http://www.designgong.org http://www.fermegaroy.com http://www.welchcorp.com http://www.snsphoto.com http://www.soeco.org http://www.softmajor.ru http://www.solt3.org http://www.sqnsolutions.com http://www.spacium.biz http://www.speedcom.home.pl http://www.trago.com.pt http://www.spirit-in-steel.at http://www.spy.az http://www.st-paulus-bonn.dehtdocs http://www.stbs.com.hk http://www.acsohio.com http://www.olva.com.pe http://www.subsplanet.com http://www.sungodbio.com http://www.superbetcs.com http://www.vnn.vn http://www.sydolo.com http://www.szdiheng.com http://www.agria.hu http://www.externet.hu http://www.hondenservice.be http://www.ehc.hu http://www.tcicampus.net http://www.contentproject.com http://www.festivalteatrooccidente.com http://www.techni.com.cn http://www.festivalteatrooccidente.com http://www.thaifast.com http://www.thaiventure.com http://www.andi.com.vn http://www.replayu.com http://www.th-mutan.com http://www.thetexasoutfitter.com http://www.tmhcsd1987.friko.pl http://www.thenextstep.tv http://www.thenextstep.tv http://www.wesartproductions.com http://www.wilsonscountry.com http://www.windstar.pl http://www.wise-industries.com http://www.witold.pl http://www.witold.pl http://www.51.net http://www.slovanet.sk http://www.wombband.com http://www.datanet.huwww.datanet.hu http://www.uw.hu http://www.dgy.com.cn http://www.bs-security.de http://www.die-fliesen.de http://www.dom-invest.com.pl http://www.engelhardtgmbh.de http://www.triapex.cz http://www.fahrschule-herb.de http://www.fahrschule-lesser.de http://www.gimex-messzeuge.de http://www.inside-tgweb.de http://www.jue-bo.com http://www.niko.de http://www.nikogmbh.com http://www.renegaderc.com http://www.sachsenbuecher.de http://www.scvanravenswaaij.nl http://www.spoden.de http://www.sportnf.com http://www.sweb.cz http://www.tg-sandhausen-basketball.de http://www.thefunkiest.com http://www.thefunkiest.com http://www.jeoushinn.com http://www.presley.ch

6. Er überschreibt die Host Datei
7. Er öffnet Notepad

Wenn osa6.gif ausgeführt ist, passiert dieses:
1. Er lädt herunter und führt aus die 2.jpg Datei von keysi.ru
2. Er erschafft einen Thread, der auf Port 0x3C4 lauscht.

Sobald 2.jpg ausgeführt ist, macht er dieses:
1. Er schafft eine Kopie von sich selbst.
2. Er erschafft die firewall_anti.exe.dll im %WINDOWS% Ordner, der eine Massenmailer Komponente ist
3. Er schafft den Registry Key, um beim Neustart zu laufen:
[HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun]
"firewall_anti.exe"="%WINDOWS%firewall_anti.exe"

Wenn Firewall_anti.exe.dll läuft, macht er folgendes:
1. Der Zugang zu folgendes Seiten wird geblockt:

ftpav.ca.com www.pandasoftware.com pandasoftware.com clamav.net www.clamav.net www.bitdefender.com bitdefender.com ravantivirus.com www.ravantivirus.com drweb.ru www.drweb.com drweb.com antivir.de www.antivir.de 216.200.68.152 212.113.20.69 63.210.193.12 84.53.142.22 84.53.142.6 kaspersky.ru grisoft.com www3.ca.com www.viruslist.ru www.viruslist.com www.trendmicro.com www.symantec.com www.sophos.com www.networkassociates.com www.nai.com www.my-etrust.com www.mcafee.com www.kaspersky.ru www.kaspersky.com www.kaspersky-labs.com www.grisoft.com www.fastclick.net www.f-secure.com www.awaps.net www.avp.ru www.avp.com www.avp.ch windowsupdate.microsoft.com viruslist.ru viruslist.com vil.nai.com us.mcafee.com updates5.kaspersky-labs.com updates4.kaspersky-labs.com updates3.kaspersky-labs.com updates2.kaspersky-labs.com updates1.kaspersky-labs.com updates.symantec.com update.symantec.com trendmicro.com symantec.com support.microsoft.com spd.atdmt.com sophos.com service1.symantec.com securityresponse.symantec.com secure.nai.com rads.mcafee.com phx.corporate-ir.net office.microsoft.com networkassociates.com nai.com my-etrust.com msdn.microsoft.com media.fastclick.net mcafee.com mast.mcafee.com liveupdate.symantecliveupdate.com liveupdate.symantec.com kaspersky.com kaspersky-labs.com ids.kaspersky-labs.com go.microsoft.com ftp.sophos.com ftp.kasperskylab.ru ftp.f-secure.com ftp.downloads2.kaspersky-labs.com ftp.avp.ch fastclick.net f-secure.com engine.awaps.net downloads4.kaspersky-labs.com downloads3.kaspersky-labs.com downloads2.kaspersky-labs.com downloads1.kaspersky-labs.com downloads.microsoft.com downloads-us3.kaspersky-labs.com downloads-us2.kaspersky-labs.com downloads-us1.kaspersky-labs.com downloads-eu1.kaspersky-labs.com download.microsoft.com download.mcafee.com dispatch.mcafee.com customer.symantec.com clicks.atdmt.com click.atdmt.com www.ca.com ca.com banners.fastclick.net banner.fastclick.net awaps.net avp.ru avp.com avp.ch atdmt.com ar.atwola.com ads.fastclick.net ad.fastclick.net report.bitdefender.com upgrade.bitdefender.com ad.doubleclick.net


indem er sich selbst als Paketfilter registriert, was den Update von Sicherheitsprodukten verhindert.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Bagle.DC@mm Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.