Bezeichnung |
Name |
Typ |
Bagle.KT |
W32.Bagle.KT |
Wurm |
Schaden |
Entdeckt |
Ermittelt |
Mittel |
13.12.2006 |
14.12.2006 |
Größe |
Verbreitung |
Noch unterwegs |
40,565 Bytes |
gering |
Ja |
Andere Namen |
W32.Bagle.GT |
|
|
Symptome :
|
Der Schädling Bagle.KT ist als Wurm
erkannt worden, welcher versucht sich im Internet mit 2 Dateien nachzuladen
von unterschiedlichen Webseiten. Diese Dateien können alle möglichen
Arten von Malware beinhalten. Zusätzlich versucht er den jeweiligen Computerbesitzer
daran zu hindern in den "sicheren Modus" zu wechseln bei Neustart.
Bagle.KT verbreitet sich über eMail mit Dateianhängen. Als Anhang
befindet sich in diesem Fall eine komprimierte zip-Datei.
Der Wurm ist schwer zu identifizieren, da er mit vielen variierenden Symptomen
auftreten kann. Dafür ist er aber relativ einfach zu entfernen.
Bagle.KT erreicht den Computer als Emailnachricht mit folgenden Merkmalen:
Emailbetreff wäre einer der folgenden Begrifflichkeiten:
pric
price_
price-
price
Email-Anhang:
LATEST_PRICE.ZIP
NEW_PRICE.ZIP
PRICE.ZIP
Eine Besonderheit sei hier noch gesagt:
Dieser Schädling öffnet das Windows-Notepad sobald er aktiv ist und
dort stehen dann diese Zeilen:
"Text Decoding Error."
Email Nachricht:
Diese eigentliche Nachricht ist leer.
|
Technische Beschreibung:
|
Bagle.KT führt folgende Aktionen aus:
Er versucht 2 Dateien von nun aufgelisteten Webseiten downzuloaden:
http:/poi.iae.nl
http://5050ing.com
http://aomed.com
http://arbolia.com
http://areaealt.ru
http://art4host.pl
http://art-xnet.pl
http://aesign.cz
http://enue.ee
http://lero.hu
http://bart.com.pl
http://brbekr.sk
http://b-usa.com
http://bskov.com
http://bedpel.cz
http:/tel.ru
http://bkbull.cz
http://bominsko.cz
http://bons.com.au
http://bpsbrds.com
http://cadiics.com
http://camarco.com
http://canecia.com
http://cemax.co.kr
http://charans.com
http://csk.wz.cz
http://checusa.com
http://cibe.com.ar
http://cof6ine.net
http://comaies.net
http://cucel.com
http://concias.com
http://contdia.com
http://dev.tek.com
http://dogosign.ch
http://dchef.com
http://ericngen.de
http://fcoin.com
http://ftp-ink.net
http://gnu..gda.pl
http://gdogus.de
http://hotcshop.de
http://ilikple.com
http://innojom.net
http://kilfold.com
http://knkimbit.de
http:/emz.ru
http://mgroup.de
http://ouarces.com
http://placz.com
http://polirska.sk
http://5050ing.com
http://accele.cl
http://amady.com
http://avats.com
http://lero.hu
http://beyoom.tr
http://brank.com
http://camarco.com
http://camaov.br
http://campom.br
http://cbraos.pl
http://c-d-om.au
http://cemax.co.kr
http://charans.com
http://csk.wz.cz
http://checusa.com
http://cibe.com.ar
http://cof6ine.net
http://comaies.net
http://concias.com
http://copap.com
http://creae.com
http://deseom.br
http://dev.tek.com
http://dogosign.ch
http://dchef.com
http://ericngen.de
http://fcoin.com
http://gdogus.de
http://hotcshop.de
http://hotea.com
http://ilikple.com
http://incan.net
http://innojom.net
http://kilfold.com
http://knkimbit.de
http:/emz.ru
http://mgroup.de
http://polirska.sk
http://primshi.org
http://svatskot.cz
http://systorex.de
http://ua132.org
http://vakfi.com
http://v-sps.com
http://veraa.com
Diese Dateien, die versucht werden downzuloaden, können alle möglichen
Arten von Malware beinhalten.
Er hindert den User daran, den Computer neu im abgesicherten Modus zu starten.
Bagle.KT versucht die IP-Adresse 217137 Zwecks Internetverbindung zu prüfen/kontaktieren.
Er öffnet Notepad mit der Nachricht :"Text Decoding Error."
Art der Infektion:
Bagle.KT generiert die folgenden Dateien:
HIDN2.EXE und HLDRRR.EXE in C:\Dokumente und Einstellungen\COMPUTERNAME \Application
Data\hidn. Diese Dateien sind Kopien des Wurms.
TEMP.ZIP im C:\Laufwerk - Kopie von sich selbst
ERROR.TXT im C:\Laufwerk - Die Notepadnachricht
Bagle.KT generiert folgende Einträge in der Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
drv_st_key = \hidn\hidn2.exe
Hier versucht sich Bagle.KT immer mit zu laden, alsbald auch Windows geladen
wird.
HKEY_CURRENT_USER\ Software\ FirstRun
FirstRun =1
Diesen Eintrag nimmt der Wurm vor um fest zu stellen, ob er schon auf diesem
System aktiv ist.
Bagle.KT löscht alle Einträge in der Windows Registry (sofern
vorhanden):
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet001\ Control\ SafeBoot
Damit stellt Bagle.KT fest, dass es nicht mehr möglich ist in den abgesicherten
Modus zu wechseln.
Desweiteren sucht Bagle.KT nach Emailadressen in Dateien mit folgender Dateiendung:
ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH,
ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS and XML.
Bagle.KT nutzt seine eigene SMTP-Engine um sich an alle Emailadressen weiter
zu versenden, die er auf dem infizierten Rechner gefunden hat. Ausnahmen macht
dieser Wurm nur bei Emailadressen, die folgende Merkmale aufweisen:
@avp, @foo, @iana, @messagelab, abuse, admin, anyone@, bsd, bugs@, cafee, certific,
contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@,
kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda,
pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update,
winrar, winzip.
in Zusammenarbeit mit Panda-Software.de
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
W32.Bagle.KT Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
|
aktuelle Viren
Meldungen |
|
|
weitere Dienste |
|
|
|