THEMEN

AntiVirus

Win32.Bagle.AL@mm - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Bagle.AL  Win32.Bagle.AL@mm  Massenmailer Wurm
Schaden Entdeckt Ermittelt
 Mittel  09.08.2004  09.08.2004
Größe Verbreitung Noch unterwegs
 14848 (dropper ), 19460 (main)  Hoch  Ja
Andere Namen
 
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
 Präsenz der Datei %SYSTEM%\WINdirect.exe.
Präsenz der Datei %SYSTEM%\windll.exe.
Präsenz des Registry Key HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Run = %SYSTEM%\WINdirect.exe.
Technische Beschreibung:
Der Wurm kommt als kleine Datei, die eine andere Datei ( namens WINDirect.exe) im %SYSTEM% Directory ablegt.
Diese Datei versucht dann, ihre Vorrechte zu erhöhen und startet dann einen Thread, mit dem sie nach allen anderen Prozessen schaut und wenn sie einen namens 'firewall.exe' findet, versucht sie ihn zu eliminieren. Dann startet sie einen anderen Thread, der alle 10 Stunden versucht, den Hauptteil des Massenmailers herunterzuladen von einer Liste von Adressen.

Der Hauptteil des Wurms schafft eine Mutex namens 'MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D', um zu prüfen, ob er schon läuft.

Er startet einen Thread, der nach einem Prozeß namens "no1t1epad.exe" Ausschau hält und ihn beendet, falls er existiert.

Er sucht auch in Dateien wie "wab", "txt","msg","htm","shtm",
"stm","xml","dbx","mbx","mdx","eml", "nch","mmf","ods","cfg","asp", "php" etc nach Email Adressen

Er benutzt seine eigene SMTP Maschine.

Die Mails, die er verschickt, enthalten nur den ersten Dropper, mit folgenden Namen "price","price2","price_new", "????G?price_08","08_price","newprice","new_price" als .zip Archiv . Die Archive können verschlüsselt sein, so dass der Body der Email das Passwort enthält. Er kann auch einen kurzen String wie "new price" enthalten.

Dieser Wurm nutzt auch die Vorteile der P2P Netzwerke aus, wenn er sich zu verbreiten versucht, mit folgenden Namen:
'Microsoft Office 2003 Crack, Working!.exe',
'Microsoft Windows XP, WinXP Crack, working Keygen.exe',
'Microsoft Office XP working Crack, Keygen.exe',
'Porno, sex, oral, anal cool, awesome!!.exe',
'Porno Screensaver.scr',
'Serials.txt.exe',
'KAV 5.0',
'Kaspersky Antivirus 5.0',
'Porno pics arhive, xxx.exe',
'Windows Sourcecode update.doc.exe',
'Ahead Nero 7.exe',
'Windown Longhorn Beta Leak.exe',
'Opera 8 New!.exe',
'XXX hardcore images.exe',
'WinAmp 6 New!.exe',
'WinAmp 5 Pro Keygen Crack Update.exe',
'Adobe Photoshop 9 full.exe',
'Matrix 3 Revolution English Subtitles.exe',
'ACDSee 9.exe'.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Bagle.AL@mm Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.