|
|
|
  |
|
|
|
Kaspersky Lab hat vier neue Bagle Varianten entdeckt - Email-Worm.Win32.Bagle.bz,
Email-Worm.Win32.Bagle.ca, Email-Worm.Win32.Bagle.cb und Email-Worm.Win32.Bagle.cc.
Die Varianten sind miteinander identisch, nur mit unterschiedlichen Packprogrammen
gepackt. Sie alle beinhalten eine Liste mit URLs, die die Viren von Zeit zu Zeit überprüfen.
Bei Dateien auf diesen Sites kann es sich um neue Bagle-Versionen handeln bzw. andere
bösartige Programme, die auf Rechner von Virenopfer heruntergeladen und installiert werden.
Erste Analysen haben ergeben, dass die Funktionen von Bagle.cc identisch mit denen von
Email-Worm.Win32.Bagle.bj sind. Er ist nicht in der Lage, sich automatisch zu vervielfältigen
und wurde als infizierter E-Mail-Anhang weit verbreitet. Die infizierten Nachrichten haben entweder
leere Betreffzeilen und Körper, oder es wurde ein x-beliebiger Text eingefügt. Der Name des Anhangs
lautet "to_reduce_the_tax.zip" und ist eine ZIP-Datei mit einer Größe von etwa 18 KB. Wird das
Schädlingsprogramm aktiviert, führt dies dazu, dass der Standard Text Editor (normalerweise Notepad)
ein leeres Fenster öffnet und dieses anzeigt.
Er erstellt Dateien mit den Namen "winshost.exe" und "wiwshost.exe" im
Windows-Systemverzeichnis:
%System%winshost.exe%System%wiwshost.exe
Er erstellt auch die folgenden Registry-Einträge:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"winshost.exe" = "%System%winshost.exe"
Der Wurm löscht die folgenden Registrierungs-Schlüssel, um zu verhindern, dass Anti-Virus-Programme und Firewalls aktiviert werden:
[HKLMSOFTWAREAgnitum]
[HKLMSOFTWAREKasperskyLab][HKLMSOFTWAREMcAfee]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAPVXDWIN]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_cc]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunavg7_emc]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunccApp]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAV50]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee
Guardian]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMcAfee.InstantUpdate.Monitor]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNAVCfgWiz]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSSC_UserPrompt]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor][HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunZone Labs Client][HKLMSOFTWAREPanda Software][HKLMSOFTWARESymantec][HKLMSOFTWAREZone Labs]
Darüber hinaus beendet der Wurm eine Reihe von Prozessen, die mit
Anti-Virus- und Firewall-Programmen zusammenhängen.
Bagle.cc verändert %System%driversetchosts. Nach der Modifikation ist nur noch folgender Eintrag in der Datei zu finden: 127.0.0.1 localhost
Kaspersky Lab hat bereits Notfall-Updates publiziert, um vor allen neuen Bagle-Versionen zu schützen. Kaspersky-Kunden wird dringend geraten, die neuesten Aktualisierungen auf ihre Rechner zu laden.
Quelle Kaspersky
|
|
13.08.2005 12:53 |
|
|
|
|
|
|
lol , ja , habs erst später gelesen...naja gleich schon am Anfang ein Doppelpost...so macht man sich Freunde 
gruss Stoneriver
|
|
|
14.08.2005 08:40 |
|
|
|
|
|
|
|
