THEMEN

AntiVirus

Win32.Bagle.AE@mm - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Bagle.AE  Win32.Bagle.AE@mm  Win.32 Worm
Schaden Entdeckt Ermittelt
 Niedrig  08.07.2004  08.07.2004
Grφίe Verbreitung Noch unterwegs
 30 KB  Sehr gering  Unbekannt
Andere Namen
 I-Worm.Bagle.ad, WORM_BAGLE.AE
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :

• Dateien:
%SYSDIR%\loader_name.exe
%SYSDIR%\loader_name.exeopen
%SYSDIR%\loader_name.exeopenopen
wo %SYSDIR% die Windows System Directory (z.B. C:\Windows\System, C:\WinNT\System32) ist
• Registry Key:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mit dem wert:

"reg_key"="%SYSDIR%\loader_name.exe
• Port 1234 geφffnet (ersichtlich durch den Gebrauch "netstat -a" am Befehls Prompter)

Technische Beschreibung:

Der Wurm kommt als Email in folgender Form:

From: [spoofed]

Subject: eines der folgenden:
• Re: Msg reply
• Re: Hello
• Re: Yahoo!
• Re: Thank you!
• Re: Thanks :)
• RE: Text message
• Re: Document
• Incoming message
• Re: Incoming Message
• RE: Incoming Msg
• RE: Message Notify
• Notification
• Changes..
• Update
• Fax Message
• Protected message
• RE: Protected message
• Forum notify
• Site changes
• Re: Hi
• Encrypted document

Anhang: hat eine .exe, .scr, .com, .zip, .vbs, .hta or .cpl Extension und einen der folgenden Namen:
• Information
• Details
• text_document
• Updates
• Readme
• Document
• Info
• Details
• MoreInfo
• Message
• Sources

Body text: enthδlt eventuell einen oder mehrere von diesen:
• Read the attach.
• Your file is attached.
• More info is in attach
• See attach.
• Please, have a look at the attached file.
• Your document is attached.
• Please, read the document.
• Attach tells everything.
• Attached file tells everything.
• Check attached file for details.
• Check attached file.
• Pay attention at the attach.
• See the attached file for details.
• Message is in attach
• Here is the file.
• For security reasons attached file is password protected. The password is [password]
• For security purposes the attached file is password protected. Password -- [password]
• Note: Use password [password] to open archive.
• Attached file is protected with the password for security reasons. Password is [password]
• In order to read the attach you have to use the following password: [password]
• Archive password: [password]
• Password - [password]
• Password: [password]


Wenn er lδuft, zeigt der Wurm folgende Fehlermeldung:

Can't find a viewer associated with the file

und schafft eine der folgenden Mutexe:
• |MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
• 'D'r'o'p'p'e'd'S'k'y'N'e't'
• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
• [SkyNet.cz]SystemsMutex
• AdmSkynetJklS003
• _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

dann schafft er folgende Dateien:
• %SYSDIR%\loader_name.exe -- Wurm Exe Datei
wo %SYSDIR% imWindows System Directory (z.B. C:\Windows\System, C:\WinNT\System32) ist
• %SYSDIR%\loader_name.exeopen -- Wurm Kopie mit angehδngtem Mόll
• %SYSDIR%\loader_name.exeopenopen -- Wurm gezippt (eventuell Passwort geschόtzt)

und schafft den Registry Key:
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert:
"reg_key"="%SYSDIR%\loader_name.exe

Der o.g. Key wird zehnmal pro Sekunde geschaffen, so dass es nichts nόtzt, ihn zu lφschen, wenn nicht der Prozess (loader_name.exe)beseitigt wird.

Der Wurm versucht folgende Strings aus den Registry Keys zu lφschen:
• HKCU\Software\Microsoft\Windows\My AV
• HKCU\Software\Microsoft\Windows\Zone Labs Client Ex
• HKCU\Software\Microsoft\Windows\9XHtProtect
• HKCU\Software\Microsoft\Windows\Antivirus
• HKCU\Software\Microsoft\Windows\Special Firewall Service
• HKCU\Software\Microsoft\Windows\service
• HKCU\Software\Microsoft\Windows\Tiny AV
• HKCU\Software\Microsoft\Windows\ICQNet
• HKCU\Software\Microsoft\Windows\HtProtect
• HKCU\Software\Microsoft\Windows\NetDy
• HKCU\Software\Microsoft\Windows\Jammer2nd
• HKCU\Software\Microsoft\Windows\FirewallSvr
• HKCU\Software\Microsoft\Windows\MsInfo
• HKCU\Software\Microsoft\Windows\SysMonXP
• HKCU\Software\Microsoft\Windows\EasyAV
• HKCU\Software\Microsoft\Windows\PandaAVEngine
• HKCU\Software\Microsoft\Windows\Norton Antivirus AV
• HKCU\Software\Microsoft\Windows\KasperskyAVEng
• HKCU\Software\Microsoft\Windows\SkynetsRevenge
• HKCU\Software\Microsoft\Windows\ICQ Net

Um sich zu verschicken, durchsucht der Wurm die lokale Festplatte nach Email Addressen in Dateien mit folgenden Endungen:

.wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp

und benutzt seine eigenen SMTP Maschine, um den anvisierten Mailserver zu erreichen und Mails an ihn zu schicken, er lδsst dabei Emailadressen aus, die Folgendes enthalten:

@hotmail, @msn, @microsoft, rating@, f-secur, news, update, anyone@, bugs@, contract@, feste, gold-certs@, help@, info@, nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix, linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab, winzip, google, winrar, samples, abuse, panda, cafee, spam, @avp., noreply, local, root@, postmaster@.

Ebenso kopiert sich der Wurm in Directories, die shar in ihrem Namen enthalten (z.B. P2P Share Ordner) mit einem der folgenden Namen:
• Microsoft Office 2003 Crack, Working!.exe
• Microsoft Windows XP, WinXP Crack, working Keygen.exe
• Microsoft Office XP working Crack, Keygen.exe
• Porno, sex, oral, anal cool, awesome!!.exe
• Porno Screensaver.scr
• Serials.txt.exe
• KAV 5.0
• Kaspersky Antivirus 5.0
• Porno pics arhive, xxx.exe
• Windows Sourcecode update.doc.exe
• Ahead Nero 7.exe
• Windown Longhorn Beta Leak.exe
• Opera 8 New!.exe
• XXX hardcore images.exe
• WinAmp 6 New!.exe
• WinAmp 5 Pro Keygen Crack Update.exe
• Adobe Photoshop 9 full.exe
• Matrix 3 Revolution English Subtitles.exe
• ACDSee 9.exe


Der Wurm fungiert auch als Backdoor auf Port 1234.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Bagle.AE@mm Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurόck zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.