W32/Bagle.aq deaktiviert Antivirus-Software
|
W32.Bagle.ad deaktiviert die Beim Anhang den der Virus mitschickt |
Hier wie immer die ausführlichen Details zum Nachlesen:
| Name: | W32/Bagle.aq |
| Alias: |
W32.Beagle.AO@mm, W32/Bagle-AQ, I-Worm.Bagle.al, Worm/Bagle.AQ, WORM_BAGLE.AC |
| In Umlauf seit: |
09.08.2004 |
| Betroffene Betriebssysteme: | Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP |
| Typ: | EXE (Win32), Wurm + Backdoor (~15 - 19 KB) |
| Verbreitung: |
E-Mail, P2P |
| Absenderangabe: |
verschieden (gefälscht!) |
| Betreff/Subject: |
leer |
| Nachricht: |
"price" |
| Anhang: |
~15 KB, Dateiname: | Symptome: |
Existenz der Dateien windirect.exe |
| Schaden: | E-Mail-Versand, Backdoor (Port 2480), deaktiviert Antivirus-Software |
| Gegenmittel: | Symantec |
| Deaktivierung: | nicht bekannt. |
| Info: |
|
... Link
Neuer Windows-Wurm:
W32/Korgo.g
| Name/Alias | W32/Korgo.worm.g, W32.Korgo.F, W32/Korgo-E, Worm.Win32.Padobot.e, WORM_KORGO.F |
| In Umlauf seit: | 01.06.04 im Augenblick noch wenig verbreitet |
| Typ: | EXE (Win32), Wurm (10,752 KB) |
| Verbreitung | Netzwerk/Internet (Port 445), nutzt Sicherheitslücke (LSASS, MS04-011) in Windows 2000, XP, 2003 Server |
| Symptome | Existenz des Registry-Eintrags "Disk Defragmenter = %System%\<????????>.exe" im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run IRC-Verkehr (Port 6667), sowie Fehlermeldung über Absturz des Dienstes LSA Shell mit Windows Neustart |
| Schaden |
Systemstabilität, Backdoor Versucht folgende Prozesse "Windows |
| Gegenmittel |
Zur Vorbeugung: Installation zur Entfernung des Wurms: |
| Info | Symantec, CA, McAfee |
... Link
Dieser
Virus versucht mit kurzen, kyptischen Texten den User dazu zu bringen
den Anhang der eMail zu öffnen.
Die Viren-eMail
gibt vor, bereits durch eine Antivirussoftware geprüft worden zu sein indem
im Text folgende Meldungen einbaut wird:
***
Anti- Virus: Es wurde kein Virus erkannt
*** Domainname Virenschutz
*** http://www.domainname.de
Der Wurm
verschickt sich selbst als Dateianhang mit gefälschtem Absender an Adressen,
die er auf dem infizierten System gefunden hat.
Zur Infektion
ist ein Klick des Anwenders auf den Dateianhang notwendig.
Hier wie
immer die ausführlichen Details zum Nachlesen falls Ihr einen Kunden
dranhabt der sich bei einer eMail nicht sicher ist:
Name:
W32/Sober.f
Alias: W32.Sober.F@mm, Worm/Sober.F, I-Worm.VB.c,
WORM_SOBER.F
In Umlauf seit: 03.04.2004
Typ: EXE (Win32), Wurm (~42 KB)
Verbreitung: E-Mail
Absenderangabe: verschieden (gefälscht!)
Setzt sich zusammen aus:
Administrator
AutoMailer
Fehler-Info
Info
Information
Kundenservice
Liste
Passwort
Register
RobotMailer
Schwarze-Liste
Service
Webmaster (und domains die auf dem infizierten Rechner gefunden werden.
z.B. abuse.de)
Betreff/Subject:
Bestätigung
Datenbank-Fehler
Details
Einzelheiten
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegale Zeichen in Mail-Routing
Info
Information
Mailzustellung fehlgeschlagen
Na, überrascht?!
Registrierungs-Bestätigung
Verbindung fehlgeschlagen
Verdammt
Warnung!
(gleiche Begriffe sind auch in Englisch in Verwendung!)
Nachricht:
siehe Infolinks, hier 2 Beispiele:
"Alles
klaro bei dir?
Schau mal was Ich gefunden habe!"
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _
"Sieh
mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben
ist!
Bye"
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ _ _ _
Anhang ~42 KB (PIF- oder ZIP-Datei)
z.B.:
"abuse-liste
AMD-System.txt
Anleitung
AntiVirus-Text
Benutzer-Daten
Block-Lists
Datenbank_Auszug
Datenbank-Fehler
Dokument
KurzText
Oh-Mann
Passwoerter.txt
schwarze-listen
Text-Inhalt"
Betroffene Betriebssysteme: Windows 2000,
Windows 95, Windows 98, Windows Me, Windows XP
Symptome:
Existenz der Dateien <Variable>.exe und Syst32win.dll im Windows\System[32]-Verzeichnis
sowie des Registry-Eintrags "<Variable> = %System%\<Variable>.exe"
in den Schlüsseln
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
<Variable> zusammengesetzt aus: "32" | "crypt"
| "data" | "diag" | "dir" | "disc"
"explorer" | "host" | "log" | "run"
| "service" | "smss32" | "spool" | "sys"
| "win" - z.B.: "windirsys"
Schaden:
E-Mail-Versand, verändert Registry-Einträge
Gegenmittel:
kostenlos bei Symantec:
http://www.symantec.com/avcenter/tools.list.html
Info:
http://www.tu-berlin.de/www/software/show.shtml?virus/soberf
http://www.symantec.com/avcenter/venc/data/w32.sober.f@mm.html
http://vil.nai.com/vil/content/v_101154.htm
... Link
Last modified: 16.10.10, 11:40
| Mai 2024 | ||||||
|---|---|---|---|---|---|---|
| So. | Mo. | Di. | Mi. | Do. | Fr. | Sa. |
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
| Januar | ||||||
wieviel kann man ertragen. und wieviel in kurzer zeit. wann wird das...
habe mich so verhalten wie ich dachte dass es sein...
lieben schottischen mitbewohnerin xD zu deutsch: die ketchupflasche is ihr...
ich habe.. ich habe was rot-schwarzes an. das erste mal...
durchschländern einer buchhandel-kette dieses buch entdeckt. und es is beinah...
stadt der erkenntnisse. es ist schon witzig. manchmal hat man...
