Falls Sie sich heute morgen, so nach 6:00 gewundert haben warum Ihr Rechner gepiept hat wie verrückt und Sie schon drauf und drann waren das zu tun:



Dann sollten Sie Ihren "Ich-klicke-alles-an-was-mir-unter-die-Maus-kommt-Finger" unter Kontrolle bringen.

Dabei handelte es sich nämlich um den neuesten unter den Bösewichten.

Kein völlig humorfreier unter den Viren wie ich meine... :)

Name:
I-Worm.Netsky.d
In Umlauf seit:
01.03.2004
Absenderangabe:
unterschiedlich, gefälscht!
Betreff/Subject:
Eines der folgenden

* Your file is attached.
* Please read the attached file.
* Please have a look at the attached file.
* See the attached file for details.
* Here is the file.
* Your document is attached.
* Re: Your website
* Re: Your product
* Re: Your letter
* Re: Your archive
* Re: Your text
* Re: Your bill
* Re: Your details
* Re: My details
* Re: Word file
* Re: Excel file
* Re: Details
* Re: Approved
* Re: Your software
* Re: Your music
* Re: Here
* Re: Re: Re: Your document
* Re: Hello
* Re: Hi
* Re: Re: Message
* Re: Your picture
* Re: Here is the document
* Re: Your document
* Re: Thanks!
* Re: Re: Thanks!
* Re: Re: Document
* Re: Document
Nachricht:
eines davon:
Your document is attached.
Here is the file.
See the attached file for details.
Please have a look at the attached file
Please read the attached file.
Your file is attached.
Anhang:
* your_website.pif
* your_product.pif
* your_letter.pif
* your_archive.pif
* your_text.pif
* your_bill.pif
* your_details.pif
* document_word.pif
* document_excel.pif
* my_details.pif
* all_document.pif
* application.pif
* mp3music.pif
* yours.pif
* document_4351.pif
* your_file.pif
* message_details.pif
* your_picture.pif
* document_full.pif
* message_part2.pif
* document.pif
* your_document.pif

Der Wurm kopiert sich als winlogon.exe nach %WinDir%.

Verbreitung:
Via eMail in Verwendung einer eigenen SMTP-engine.

Detailinformation finden Sie hier:
http://www.viruslist.com/eng/alert.html?id=1069526
http://www.symantec.com/avcenter/venc/data/w32.netsky.d@mm.html
http://vil.nai.com/vil/content/v_101064.htm
http://www.sophos.com/virusinfo/analyses/w32netskyd.html
http://www.symantec.com/avcenter/venc/data/w32.netsky.d@mm.html

Gegenmittel:

Gibts derzeit bei:
http://www.symantec.com/avcenter/tools.list.html
http://vil.nai.com/vil/averttools.asp

Name:
W32/Bagle.b (W32/Tanx-A)
Alias:
W32.Beagle.B@mm, W32/Bagle-B, Worm/Bagle.B, I-Worm.Bagle.b, WORM_BAGLE.B
In Umlauf seit:
17.02.2004
Betroffene Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Typ:
EXE (Win32), Wurm (~11 KB)
Verbreitung:
E-Mail
Absenderangabe:
unterschiedlich, gefälscht!
Betreff/Subject:
"ID ???... thanks"
Nachricht:
"Yours ID ??????
--
Thank"

Anhang:
~11 KB, Dateiname verschieden: .exe
Schaden:
E-Mail-Versand, Backdoor (Port 8866), kontaktiert best. Websites
Symptome:
z.T. wird 'Sound Recorder'-Programm gestartet (Wurm hat das gleiche Icon)
Existenz der Datei Au.exe im System[32]-Verzeichnis
sowie des Registry-Eintrags "au.exe = %System%\au.exe" im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Deaktivierung (Verfallsdatum):
am 25.02.2004 (Wurm stoppt seine Verbreitung)
Gegenmittel:
Gibt es kostenlos bei:
http://de.bitdefender.com/html/free_tools.php
http://de.bitdefender.com/html/free_tools.php

Info:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml
http://www.antivir.de/vireninfo/bagleb.htm
http://www.sophos.de/virusinfo/analyses/w32tanxa.html
http://de.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.B
http://www3.cai.com/virusinfo/virus.aspx?ID=38323
http://www.europe.f-secure.com/v-descs/bagle_b.shtml
http://www.kav.ch/avpve/worms/email/bagleb.stm
http://vil.nai.com/vil/content/v_101030.htm