Win32.Worm.Bagle.FJ - Virensignatur

Symptome :

Sicherheitsprogramme wie beispielsweise Virenscanner oder Firewall-Lösungen sind auf dem infizierten System deaktiviert und lassen sich auch nicht starten.

Die Windows-HOSTS Datei ( standartmässig zu finden unter C:\WINDOWS\system32\drivers\etc ) wurde erweitert um Einträge namenhafter AntiViren-Hersteller. Dieses hat zur Folge, dass diese Webseiten nicht mehr angesurft werden können, noch Updates von diesen Herstellern zu bekommen.

Technische Beschreibung:

Bei diesem Schädling handelt es sich um einen so genannten "Mass Mailer" b.z.w. um einen "Downloader". Dieser Virus erreicht Sie im Regelfall als gepacktes Dateiformat ( z.B. bei einem eMailanhang) und beinhaltet 2 Dateien.
Die erste Datei ist ein ausführendes Programm und das andere File beinhaltet wechselnde Datei-Inhalte. Das ausführende Programm besteht aus einem Icon und einem weiteren Textdokument.
Einmal aufgerufen / ausgeführt überschreibt das Programm die Windows HOSTS Datei und läuft als "sysformat.exe" im System mit.

• Die Windows-Firewall sowie das bei XP enthaltene Sicherheitscenter (security center) werden durch diesen Wurm deaktiviert.
• Er zerstört nach Möglichkeit sämtliche Sicherheitsprodukte (Virenscanner / Firewall ...).
• Der Wurm versucht Dateien von voreingestellten Webseiten downzuloaden und natürlich auch diese downgeloadeten Dateien auszuführen.
• Beagle.FJ durchsucht die vorhandenen Festplatten nach Dateien mit folgenden Endungen:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Der Wurm wird sich dann über Ihren Computer weiter versenden mit Ausnahme von eMailadressen, die folgende Worte-, Wortkombinationen enthalten:

@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

• Dieser Wurm durchsucht also die Festplatte nach Ordnern, die den Suchterm "shar" beinhalten. Vornehmlich nach einschlägigen Wort-Kombinationen, die bei Filesharing Usern zu finden sind. "My Shared Documents". Dieser Virus wird sich dann selbst unter folgenden Namen in den Share-Ordner kopieren zwecks weiterverbreitung:

1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

• Einmal via eMail verschickt beinhaltet die "Betreff" Zeile Ihres eMailprogramms beim Empfänger folgende Worte / Wortkombinationen:

price
February price
pricelst
pricelist
price_lst
new_price
February_price
21_price

Entfernung:

[ Zurück zum Anfang ]