|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Bagle
I-Worm.Bagle ist ein typischer eMail-Wurm der per eMail auf Ihren PC kommt.
Das eMail hat folgendes Aussehen:
Betreff: Hi
Text: Test =)
---
Test, yep.
Das Attachment ist eine EXE-Datei mit variablem Namen.
Wurde die Datei durch den Empfänger per Doppelklick aktiviert, öffnet sich der Windows-Taschenrechner.
Im Hintergrund hat der Wurm bereits eine Kopie von sich selbst in das Windows-System bzw. Windows-System32-Verzeichnis kopiert und folgende Registryeinträge angelegt:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "d3update.exe" = "%system%\bbeagle.exe"
[HKEY_CURRENT_USER\Software\Windows98] "uid" = "[%%]" "frun" = "1"
Der Wurm durchsucht die Dateien mit der Dateiendung .wab, .txt, .htm, .html, .r1 nach eMailadressen und versendet sich an diese mit seiner eigenen SMTP-Engine.
I-Worm.Bagle versucht von verschiedenen Servern (hauptsächlich Deutschen) eine Datei (1.php) downzuladen welche aber auf keinem der Server zur Verfügung steht.
Weiters öffnet der Wurm den Port 6777 und meldet dem Wurm-Autor das dieser Rechner infiziert ist. Solange dieser Port offen ist, hat der Autor die Möglichkeit auf dem Rechner weitere funktionen auszuführen.
Ab dem 28. Januar 2004 ist mit keiner weiteren Verbreitung des I-Worm.Bagle zu rechnen da er, wie bereits I-Worm.Sobig sich selbst deaktiviert.
Manuelle Entfernung:
1. Beenden Sie den Task des Wurmes
2. Löschen Sie die Registryeinträge
3. Löschen Sie die Datei
|
|
Linktipps: Aluschirm
|
|
|
|
