Bezeichnung |
Name |
Typ |
Bagle.BD |
Win32.Bagle.BD-BG @mm |
Ausführender Massenmailer Trojaner Backdoor |
Schaden |
Entdeckt |
Ermittelt |
Mittel |
01.03.2005 |
01.03.2005 |
Größe |
Verbreitung |
Noch unterwegs |
~30 K (gepackt / verschlüsselt) |
Mittel |
Ja |
Andere Namen |
Bagle.PAC (Kaspersky) |
|
|
Symptome :
|
1) Ungewöhnlich hohe Netzwerkaktivität
2) Seltsames Verhalten des Windows Explorer (Crashes)
3) Der User bekommt keine Verbindung zu AntiVirus - Webseiten
4) Firewall, Antivirus und andere Sicherheitsprogramme werden nicht ausgeführt
5) Präsenz der Dateien winshost.exe, wiwshost.exe im Windows System
Ordner
|
Technische Beschreibung:
|
Die Dateien kommen gepackt mit PeX, einem populären PE
Dateien Verschlüsselungshilfsprogramm.
PeX-komprimierte/verschlüsselte Dateien sind ziemlich einfach zu entschlüsseln/dekomprimieren,
obwohl PeX viele Tricks benutzt, er schafft z.B. Ausnahmen (nachdem er vorher
einen Ausnahme Bearbeiter eingerichtet hat), Anti-Abbau Macro`s (er springt
z.B. in mitten in eine Anweisung) etc.
Der Bagle Trojaner überschreibt die Host`s Datei mit einem 3783-byt
Buffer, der folgendes enthält:
127.0.0.1 localhost
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 ftp:/ /ftp.kasperskylab.ru/updates/
127.0.0.1 ftp:/ /ftp.avp.ch/updates/
127.0.0.1 http:/ /www.kaspersky.ru/updates/
127.0.0.1 http:/ /updates1.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates3.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates4.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates2.kaspersky-labs.com/updates/
127.0.0.1 http:/ /updates5.kaspersky-labs.com/updates/
127.0.0.1 http:/ /downloads1.kaspersky-labs.com/updates/
127.0.0.1 http:/ /www.kaspersky-labs.com/updates/
127.0.0.1 ftp:/ /updates3.kaspersky-labs.com/updates/
127.0.0.1 ftp:/ /downloads1.kaspersky-labs.com/updates/
127.0.0.1 www3.ca.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
womit er den Zugang zu den meisten AV Seiten außer Kraft setzt.
Es ist interessant, anzumerken, dass der Wurm den hardcodierten Pfad
der Host Datei nutzt (%system32%\drivers\etc).
Dieser Pfad kann modifiziert
werden mit einem einfachen Registry Setting, dass dieses Wurm Feature
unbrauchbar macht.
Der Wurm bringt einen Code in die Windows Explorer Applikation (explorer.exe).
Dann scheinen alle bösartigen Aktivitäten des Wurms vom Windows
Explorer beendet zu werden.
Der Wurm agiert auch als Downloader; er versucht eine Datei von speziellen
Hosts runterzuladen und führt sie aus.
Weiterhin hat er auch Anti-Antivirus Features, zum Beispiel versucht er,
verschiedene Prozesse, die zu AV/Firewall Produkten gehören, zu beenden
sowie auch ihre Dienste.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Bagle.BD-BG @mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
|
aktuelle Viren
Meldungen |
|
|
weitere Dienste |
|
|
|