THEMEN

AntiVirus

Win32.Bagle.BD-BG @mm - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Bagle.BD  Win32.Bagle.BD-BG @mm  Ausführender Massenmailer Trojaner Backdoor
Schaden Entdeckt Ermittelt
 Mittel  01.03.2005  01.03.2005
Größe Verbreitung Noch unterwegs
 ~30 K (gepackt / verschlüsselt)  Mittel  Ja
Andere Namen
 Bagle.PAC (Kaspersky)
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
1) Ungewöhnlich hohe Netzwerkaktivität
2) Seltsames Verhalten des Windows Explorer (Crashes)
3) Der User bekommt keine Verbindung zu AntiVirus - Webseiten
4) Firewall, Antivirus und andere Sicherheitsprogramme werden nicht ausgeführt
5) Präsenz der Dateien winshost.exe, wiwshost.exe im Windows System Ordner
Technische Beschreibung:
Die Dateien kommen gepackt mit PeX, einem populären PE Dateien Verschlüsselungshilfsprogramm.
PeX-komprimierte/verschlüsselte Dateien sind ziemlich einfach zu entschlüsseln/dekomprimieren, obwohl PeX viele Tricks benutzt, er schafft z.B. Ausnahmen (nachdem er vorher einen Ausnahme Bearbeiter eingerichtet hat), Anti-Abbau Macro`s (er springt z.B. in mitten in eine Anweisung) etc.

Der Bagle Trojaner überschreibt die Host`s Datei mit einem 3783-byt Buffer, der folgendes enthält:

127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 ftp:/ /ftp.kasperskylab.ru/updates/
127.0.0.1 ftp:/ /ftp.avp.ch/updates/
127.0.0.1 http:/ /www.kaspersky.ru/updates/
127.0.0.1 http:/ /updates1.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates3.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates4.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates2.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates5.kaspersky-labs.com/updates/
127.0.0.1 http:/ /downloads1.kaspersky-labs.com/updates/
127.0.0.1 http:/ /www.kaspersky-labs.com/updates/
127.0.0.1 ftp:/ /updates3.kaspersky-labs.com/updates/
127.0.0.1 ftp:/ /downloads1.kaspersky-labs.com/updates/
127.0.0.1 www3.ca.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

womit er den Zugang zu den meisten AV Seiten außer Kraft setzt.

Es ist interessant, anzumerken, dass der Wurm den hardcodierten Pfad der Host Datei nutzt (%system32%\drivers\etc).
Dieser Pfad kann modifiziert werden mit einem einfachen Registry Setting, dass dieses Wurm Feature unbrauchbar macht.

Der Wurm bringt einen Code in die Windows Explorer Applikation (explorer.exe). Dann scheinen alle bösartigen Aktivitäten des Wurms vom Windows Explorer beendet zu werden.

Der Wurm agiert auch als Downloader; er versucht eine Datei von speziellen Hosts runterzuladen und führt sie aus.
Weiterhin hat er auch Anti-Antivirus Features, zum Beispiel versucht er, verschiedene Prozesse, die zu AV/Firewall Produkten gehören, zu beenden sowie auch ihre Dienste.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Bagle.BD-BG @mm Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.