Bezeichnung |
Name |
Typ |
Bagle.AL |
Win32.Bagle.AL@mm |
Massenmailer Wurm |
Schaden |
Entdeckt |
Ermittelt |
Mittel |
09.08.2004 |
09.08.2004 |
Größe |
Verbreitung |
Noch unterwegs |
14848 (dropper ), 19460 (main) |
Hoch |
Ja |
Andere Namen |
|
|
|
Symptome :
|
Präsenz der Datei
%SYSTEM%\WINdirect.exe.
Präsenz der Datei %SYSTEM%\windll.exe.
Präsenz des Registry Key HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Run
= %SYSTEM%\WINdirect.exe.
|
Technische Beschreibung:
|
Der Wurm kommt als kleine
Datei, die eine andere Datei ( namens WINDirect.exe) im %SYSTEM% Directory
ablegt.
Diese Datei versucht dann, ihre Vorrechte zu erhöhen und startet dann
einen Thread, mit dem sie nach allen anderen Prozessen schaut und wenn sie
einen namens 'firewall.exe' findet, versucht sie ihn zu eliminieren. Dann
startet sie einen anderen Thread, der alle 10 Stunden versucht, den Hauptteil
des Massenmailers herunterzuladen von einer Liste von Adressen. Der
Hauptteil des Wurms schafft eine Mutex namens 'MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D',
um zu prüfen, ob er schon läuft.
Er startet einen Thread, der nach einem Prozeß namens
"no1t1epad.exe" Ausschau hält und ihn beendet, falls er
existiert.
Er sucht auch in Dateien wie "wab", "txt","msg","htm","shtm",
"stm","xml","dbx","mbx","mdx","eml",
"nch","mmf","ods","cfg","asp",
"php" etc nach Email Adressen
Er benutzt seine eigene SMTP Maschine.
Die Mails, die er verschickt, enthalten nur den ersten
Dropper, mit folgenden Namen "price","price2","price_new",
"????G?price_08","08_price","newprice","new_price"
als .zip Archiv . Die Archive können verschlüsselt sein, so
dass der Body der Email das Passwort enthält. Er kann auch einen
kurzen String wie "new price" enthalten.
Dieser Wurm nutzt auch die Vorteile der P2P Netzwerke aus, wenn er sich
zu verbreiten versucht, mit folgenden Namen:
'Microsoft Office 2003 Crack, Working!.exe',
'Microsoft Windows XP, WinXP Crack, working Keygen.exe',
'Microsoft Office XP working Crack, Keygen.exe',
'Porno, sex, oral, anal cool, awesome!!.exe',
'Porno Screensaver.scr',
'Serials.txt.exe',
'KAV 5.0',
'Kaspersky Antivirus 5.0',
'Porno pics arhive, xxx.exe',
'Windows Sourcecode update.doc.exe',
'Ahead Nero 7.exe',
'Windown Longhorn Beta Leak.exe',
'Opera 8 New!.exe',
'XXX hardcore images.exe',
'WinAmp 6 New!.exe',
'WinAmp 5 Pro Keygen Crack Update.exe',
'Adobe Photoshop 9 full.exe',
'Matrix 3 Revolution English Subtitles.exe',
'ACDSee 9.exe'.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Bagle.AL@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
|
aktuelle Viren
Meldungen |
|
|
weitere Dienste |
|
|
|